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H 2006 年 Google 公司 提出 云 计 算 概 念 以 来 ， 云 计算 发 展 迅速 。 云 计算 已 经 被 视 为 继 
Web 2.0 之 后 ， 下 一 波 科技 产业 的 重要 商机 。 特 别 是 近年 来 ， 随 着 信息 技术 的 突破 和 数据 科学 
的 是 起 ， 云 计算 引起 了 产业 界 、 学 术 界 和 政府 部 门 的 高 度 关 注 。 
前 ， 云 计算 已 经 在 大 多 数 企 业 得 到 普及 和 应 用 。 其 中 ， 伴 随 着 云 计算 的 快速 发 展 ， 越 
来 越 多 的 用 户 将 数据 托管 到 云端 。 但 是 ， 由 于 引入 虚拟 化 技术 的 云 计算 系统 所 特有 的 服务 模式 
以 及 其 前 所 未 有 的 开放 性 、 复 杂 性 和 可 伸缩 性 等 特征 ， 传 统 的 安全 技术 无 法 完全 保证 用 户 托管 
到 云端 数据 的 安全 和 云 计算 平台 自身 的 安全 。 因 此 ， 云 计算 为 信息 安全 领域 带 来 了 新 的 挑战 ， 
也 为 信息 系统 引入 了 新 的 风险 。 

如 今 ， 云 安全 问题 已 成 为 云 计 算 发 展 的 主要 障碍 之 一 。 许 多 涉及 云 计算 的 安全 问题 有 符 
解决 ， 如 怎样 使 云 服 务 提供 方 和 使 用 方 之 间 相 互信 任 、 怎 样 保证 云 服务 没有 风险 或 低 风险 等 。 
针对 云 计算 面临 的 这 些 安全 挑战 ， 国 内 外 研究 者 对 一 些 关 键 技 术 进 行 了 相关 的 研究 。 但 从 整体 
上 来 讲 ， 关 于 云 计算 安 全 问题 的 研究 刚刚 起 步 ， 虽 然 很 多 组 织 和 机 构 都 在 积极 地 对 云 计算 的 安 
全 问题 展开 研究 ， 但 主要 是 CSA, NIST 和 Google 等 组 织 与 机 构 所 给 出 的 对 云 计算 安全 问题 
的 描述 和 关于 云 计 算 安 全 问题 的 初步 解决 方案 。 

本 书 全 面 、 系 统 地 对 云 安全 的 基本 概念 、 云 基础 设施 安全 技术 、 云 安全 测试 、 云 服务 风 
险 评 佑 方法、 数据 安全 及 隐私 保护 技术 等 内 容 进行 了 深入 剖析 ， 对 业界 云 安全 实践 和 云 安全 标 
准 进行 了 系统 介绍 ， 并 给 出 若干 实际 例子 或 思路 ， 有 具备 很 强 的 实践 性 。 全 书 共 包括 10 章 ， 主 
要 内 容 如 下 : 

第 1 章 简 要 阐述 了 云 计 算 的 产生 背景 、 服 务 模 型 、 部 署 模型 与 面临 的 问题 ， 并 重点 探讨 
了 云 计 算 的 虚拟 化 技术 、 编 程 模式 、 数 据 存 储 管理 和 资源 调度 等 若干 关键 技术 。 
第 2 章 对 云 计 算 带 来 的 安全 问题 进行 剖析， 并 给 出 了 云 计 算 安 全 的 内 涵 和 确保 云 安全 的 
主流 技术 ， 让 读者 对 云 安全 及 其 保护 技术 有 一 个 初步 的 整体 认识 。 

第 3 章 从 全 局 角度 分 析 云 基础 设施 存在 的 安全 问题 ， 并 结合 云 基础 设施 的 安全 需求 讨论 
云 基础 设施 安全 性 的 主要 关键 技术 ， 重 点 讨论 了 虚拟 化 技术 及 其 安全 问题 和 对 策 。 

第 4 章 概要 论述 了 云 环 境 下 数据 在 全 生命 周期 中 所 面临 的 威胁 、 相 应 的 安全 需求 以 及 针 
对 这 些 需求 可 以 采取 的 应 对 措施 。 
第 $ 章 分 别 从 技术 、 管 理 和 法 规 角度 出 发 ， 对 数据 隐私 泄露 与 保护 数据 隐私 的 技术 手段 
及 相关 法 规 和 管理 措施 进行 全 方位 的 分 析 。 
第 6 章 主要 对 风险 概念 、 风 险 类 别 、 风 险 评测 方法 以 及 云 服务 风 险 评估 等 方面 的 内 容 给 
出 较 详细 的 阐述 ， 为 读者 分 析 云 服务 中 可 能 存在 的 安全 风险 和 评估 云 服 务 的 安全 性 提供 参考 。 
第 7 章 介绍 安全 云 应 用 实践 ， 阐 述 若 干 典型 云 服务 提供 商 在 安全 云 应 用 中 所 采用 的 各 种 
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第 8 章 主 要 介绍 云 测试 的 基本 概念 和 研究 现状 ， 同 时 对 云 测试 目前 所 面临 的 挑战 、 第 用 
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第 9 章 围绕 云 计 算 安 全 标准 的 研究 展开 ， 介 绍 当前 主要 的 云 安全 标准 组 织 情况 ， 并 就 它 
们 各 自在 云 计算 安全 领域 的 标准 研究 成 果 进行 概述 。 
第 10 章 对 云 安全 研究 的 主要 方向 及 云 安全 研究 主流 技术 的 现状 和 发 展 趋势 进行 阐述 ， 使 
读者 能 够 对 当前 的 研究 热点 和 技术 发 展 动态 有 一 个 总 体 了 解 。 

本 书 部 分 内 容 来 自作 者 所 在 研究 小 组 的 研究 成 果 ， 此 处 也 参考 了 大 量 的 业界 研究 成 果 
和 相关 技术 资料 。 本 书 由 徐 保 民 制 订 编 写 大 纲 ， 并 负责 统 稿 和 定稿 的 工作 。 徐 保 民 编写 了 
第 1—7 章 ， 李 春 艳 编写 了 第 8 一 10 章 和 附录 。 本 书 的 撰写 得 到 机 械 工 业 出 版 社 的 大 力 文 
持 ， 在 此 一 并 表示 深 深 的 谢意 。 

由 于 作者 水 平 有 限 ， 书 中 难免 存在 不 足 之 处 ， 欢 迎 各 位 读者 批评 和 指正 。 作 者 的 电子 邮 


箱 为 xubaomin@gmail.com。 
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近年 来 ， 一 种 新 的 分 布 式 计算 模式 一 一 云 计 算 在 学 术 界 和 工业 界 已 经 成 为 热点 。 被 视 为 
IT 界 第 三 次 革命 的 云 计算 将 带 来 工作 方式 和 商业 模式 的 根本 性 改变 。 然 而 ， 云 计算 到 底 是 什 








么 ? 它 的 产生 背景 是 什么 
































? 它 涉及 哪些 关键 技术 ? 它 的 发 展 前 景 如 何 ? 本 章 将 通过 对 这 些 问 题 


的 阐述 ， 帮 助 读者 对 云 计算 形成 一 个 初步 的 认识 。 





11 计算 模式 的 演变 
利用 有 限 的 资源 实现 效益 的 最 大 化 始终 是 计算 机 科学 技术 发 展 和 追求 的 目标 之 一 。 例 如 











从 基于 集群 的 计算 模式 发 


蔡 的 云 计算 模式 ， 则 可 以 说 是 一 种 计算 模式 的 升华 。 
要 了 解 云 计 算是 什么 和 不 是 什么 ， 理 解 计算 模式 的 演变 过 程 非常 重要 。 所 谓 计算 模式 就 
是 指 计算 机 完成 任务 的 一 
着 微 处 理 器 技术 和 计算 机 网 络 技术 的 不 断 发 展 ， 计 算 模式 经 过 了 集中 式 计算 模式 、 桌 面 计算 模 









































展 到 网 格 计算 模式 ， 就 是 一 种 有 效 利用 有 限 资 源 的 进步 。 当 前 如 火 如 









































种 运行 、 输 入 /输出 以 及 使 用 的 方式 。 在 计算 技术 的 发 展 历史 中 ， 随 


























式 和 分 布 式 计算 模式 的 变迁 中。 


1.1.1 集中 式 计算 模式 
自 1946 年 2 月 14 日 世界 第 一 台 名 字 叫 “ENIAC 〈 挨 尼 阿 克 )” 的 电子 计算 机 在 美国 宾 


夕 法 尼 亚 大 学 诞生 门 ， 到 




















20 世纪 70 年 代 初 ， 计 算 机 设备 不 仅 庞 大 和 昂贵 ， 而 且 寞 常 复杂 ， 














没有 经 过 特殊 培训 的 人 员 几 乎 无 法 直接 使 用 计算 机 。 因 此 ， 当 时 上 只 有 为 数 不 多 的 机 构 才 有 财 
力 购 置 数量 有 限 的 计算 机 。 这 些 计算 机 通常 都 是 单独 放 在 特别 的 房间 里 ， 并 由 专业 人 员 来 操 











作 和 维护 。 















































为 了 贡 约 成 本 ， 当 时 的 计算 机 系统 大 多 以 一 台 主 机 为 核心 ， 用 户 通过 终端 设备 与 主机 相 




















连 。 在 主机 操作 系统 的 管理 下 共享 主机 的 便 件 资源 ， 包 括 中 央 处 理 器 、 内 存 /外 存 、 输 入 /输出 

















设备 等 。 所 有 的 数据 存储 和 计算 都 在 主机 上 进行 ， 终 端 设备 只 负责 接收 用 户 的 请 求 和 显示 计算 












































结果 。 这 就 是 集中 式 计算 模式 。 











集中 式 计 算 模式 的 主要 特点 是 可 以 同时 为 多 个 用 户 服务 ， 主 要 缺点 如 下 : 
D 主机 负担 过 重 ， 所 有 的 计算 和 存储 都 集中 在 主机 上 。 一 旦 主机 出 故 隐 ， 整 个 系统 都 将 





瘫痪 





















































2) 系统 扩展 不 易 ， 当 用 户 数量 不 断 增 加 时 ， 必 须 更 换 主机 ， 和 否则 系统 的 服务 质量 就 要 受 








到 影响 。 


























3) 系统 的 购置 、 安 装 及 维护 等 费用 较 高 ， 不 易 普 及 。 

















1.1.2. 果 面 计算 模式 





























随 着 大 规模 集成 电路 技术 的 发 展 ， 计 算 机 的 小 型 化 成 为 可 能 。20 世纪 70 ER, DAEM 
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机 构 已 开始 配置 供 














在 1981 
IBM 公司 在 1982 
入 寻常 百姓 之 家 。 
由 于 许多 PC 
相对 复杂 的 计算 ， 











年 正式 推出 的 全 球 首 台 个 人 计算 机 IBM PCP 
年 公开 了 IBM PC 的 主要 技术 。 自 此 ， 个 人 计算 机 得 以 迅速 发 展 ， 并 | 





PN 



































和 了 
而 价格 却 非常 便宜 ， 




















个 人 使 用 的 微型 计算 机 。 但 是 ， 个 人 计算 时 代 真 正 开 





[ 作 站 已 经 具备 了 过 去 大 型 计算 机 的 能 力 ， 可 以 存储 大 量 的 数据 且 








ARA ECCE ACER 











计算 模式 ， 也 称 为 单机 计算 模式 或 个 人 计算 模式 。 








1.1.3 














网 络 
移 。 当 时 ， 这 种 
站 ， 提 供 











共享 型 的 多 用 户 处 理 机 ， 提 供 





分 布 式 计算 模 式 
到 20 世纪 90 年 代 ， 
k 享 计算 机 资源 成 为 可 能 
新 出 现 的 模式 被 称 为 C/S 模式 由。 
与 业务 应 用 有 关 的 表现 、 





























计算 、 
业务 所 需 的 计算 、 




















连接 、 


网 络 ; 














计算 模式 会 把 
完成 。 





应 用 程序 所 要 完成 的 任务 分 派 到 客户 机 和 服务 器 上 ， 








数据 库 管 型 


随 着 个 人 计算 机 的 莲 勃 发 展 和 局 域 网 技术 的 成 熟 ， 用 户 通 j 
。 计 算 机 网 络 e 桌面 计算 模式 迅速 向 分 布 式 计算 方向 转 
， 客 户 机 《〈Client) 是 一 种 单 用 户 工作 
服务 器 (Server) 是 一 种 
E 和 各 类 接口 服务 。C/S 
并 通过 它们 之 间 的 协调 共同 








始 的 标志 是 IBM 公司 
E 动 个 人 计算 机 的 产业 化 发 展 ， 




















此 走 











能 进行 











因此 计算 模式 的 主流 从 以 一 台 主 机 为 核心 转移 到 以 用 户 


过 计算 机 








BEA Internet 技术 的 发 展 和 迅速 普及 ， 计 算 机 之 间 的 通信 和 互联 超越 了 地 域 的 限 





制 |， 











改变 了 人 们 传统 的 获取 、 
































交换 和 处 











联网 从 科 丰 


端 集中 。 








机 构 走 
B/S 模式 ) 逐渐 形成 并 发 
的 ， 极 少 部 分 事务 逻辑 在 前 





I] T XX. EB 20 世纪 90 年 代 中 期 开始 ， 
展 起 来 只 。 在 这 种 模式 下 ， 


采 端 






































伴随 着 高 速 网 络 的 不 断 》 
户 ， 迫 切 需要 共享 分 布 于 网 络 上 丰富 的 资源 ， 特 
算 模式 逐步 成 为 主 




































































FE 流 的 计算 模式 。 简 单 地 说 ， 

















进行 计算 。 


情 、 


由 于 分 布 式 计算 有 着 巨大 的 计算 潜力 、 良 好 
解决 大 型 和 小 型 的 科学 计算 问题 都 是 一 种 非常 合适 的 模式 站。 












































种 把 需要 进行 大 量 计算 的 工程 数据 分 
# 果 合并 然后 得 出 数据 结论 的 科学 ，。 
分 布 式 计算 的 最 早 形态 
空闲 时 间 为 芯片 设计 计算 数据 集 。 
世纪 90 年 代 后 期 达到 了 高 潮 。 目 





将 结 











分 布 式 计算 
算 三 大 阶段 。 如 





着 计算 规模 和 计算 能 力 的 








SARDER, | 



























































别 是 计算 资源 。 这 就 使 得 
分 布 式 计算 就 是 让 很 多 计算 机 同时 去 帮 你 做 事 








里 信息 的 方式 。 而 万 维 网 和 浏览 器 的 出 现 使 得 互 
一 种 全 新 的 计算 模式 〔( 即 
户 工 作 界 面 是 通过 浏览 器 来 实现 
dier 实现 ， 主 要 事务 逻辑 都 在 服务 器 端 实现 。 
模式 简化 了 客户 端的 要 求 ， 主 要 计算 工作 都 在 服务 器 端 完 成 ， 计 算 又 一 





B/S 
次 开始 向 服务 器 


现 和 计算 资源 的 网 络 化 ， 拥 有 个 人 计算 机 或 工作 站 的 广大 用 

















基于 网 络 的 分 布 式 计 





的 可 扩展 性 和 灵活 的 体系 结构 ， 所 以 它 对 于 
从 学 术 角 度 讲 ， 
多 台 计 算 机 分 别 计算 ， 在 


分 布 式 计 算是 一 
上 传 计算 结果 后 ， 











出 现在 20 世纪 80 年 代 末 期 的 Intel 公司 。Intel 公司 利用 工作 站 的 























随 着 Internet. 的 迅速 发 展 和 普及 ， 分 布 式 计算 的 研究 在 20 
前 分 布 式 计算 已 非常 流行 。 
模式 的 演变 历史 开始 于 并 行 计算 ， 主 要 经 历 了 集群 、 网 格 计 算 和 云 计 
图 1-1 所 示 。 从 计算 模式 的 发 展 趋势 来 看 ， 网 格 计 算 和 云 计算 都 是 随 












































益 提高 ， 以 及 应 用 范围 的 扩大 和 
































的 ， 是 技术 和 应 
式 ， 是 由 传统 的 
趋势 。 

2 












































j 发 展 的 必然 趋势 。 云 计算 作为 目前 出 现 的 一 种 














用 户 数量 的 剧 增 而 产生 








EE: 





9r HJ 4 dp x A 


多 种 计算 模型 和 技术 发 展 而 来 的 ， 已 成 为 众多 企业 的 一 种 必然 选择 和 








Tw 5 "MS 

云 计算 网 格 计算 

图 1-1 分 布 式 计算 模式 的 发 展 趋势 
并 行 计算 一 般 是 指 许多 指令 得 以 同时 执行 的 计算 模式 。 在 同时 执行 的 前 提 下 ， 可 以 将 计 
算 过 程 分 解 成 若干 子 过程 ， 之 后 以 并 行 方式 来 加 以 完成 。 并 行 计 算 可 分 为 时 间 上 的 并 行 和 空间 
上 的 并 行 。 时 间 上 的 并 行 是 指 流水 线 技术 ， 空 间 上 的 并 行 是 指 用 多 个 处 理 器 并 行 地 执行 计算 。 
任何 高 性 能 计算 都 离 不 开 并 行 计算 技术 。 
集群 是 一 种 并 行 或 分 布 式 多 处 理 系 统 ， 该 系统 是 通过 将 一 组 松散 集成 的 计算 机 软件 和 硬 
件 连接 起 来 作为 一 个 整体 向 用 户 提 供 一 组 资源 。 在 某 种 意义 上 ， 一 个 连接 在 一 起 的 计算 机 集群 
对 于 用 户 和 应 用 程序 而 言 就 像 是 一 个 单一 的 计算 机 系统 。 集 群 系统 中 的 单个 计算 机 通常 称 为 节 
点 ， 节 点 可 以 是 连接 在 一 起 的 ， 也 可 以 是 物理 上 分 散 而 通过 局 域 网 连接 到 一 起 的 。 集 群 系统 通 
常用 来 改进 单个 计算 机 的 计算 速度 和 可 靠 性 。 在 一 般 情 况 下， 集群 系统 比 单个 计算 机 如 工作 
站 ) 的 性 能 价格 比 要 高 得 多 。 

20 世纪 90 年 代 初 ， 网 格 计算 由 学 术 界 提出 ， 伴 随 互联 网 的 兴起 而 迅速 有 发展。 该 模式 利用 
Intemet 把 分 散在 不 同 地 域 的 计算 机 组 织 成 一 台 虚 拟 的 超级 计算 机 ， 每 一 台 参 与 运算 的 计算 机 即 为 
一 个 节点 ， 整 个 计算 则 是 由 成 千 上 万 的 节点 构筑 成 一 个 网 格 ， 因 而 被 称 为 网 格 计算 。 网 格 计算 的 
焦点 在 于 文 持 跨 管理 域 计算 的 能 力 ， 这 使 它 与 传统 的 集群 系统 或 传统 的 分 布 式 计算 相 区 别 。 

云 计算 是 一 种 通过 互联 网 提供 弹性 计算 和 虚拟 资源 服务 的 分 布 式 计算 模式 。 它 是 网 格 计 
算 、 分 布 式 计 算 、 并 行 计算 、 效 用 计算 、 网 络 存储 和 虚拟 化 等 传统 计算 机 技术 和 网 络 技术 发 展 
融合 所 产生 一 种 新 的 商业 计算 模式 。 
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12 理解 云 计算 


近年 来 ， 云 计算 作为 一 个 新 的 技术 趋势 已 经 得 到 了 快速 发 展 。 然 而 ， 由 于 业界 一 直 没 有 
对 云 计算 形成 一 个 统一 的 定义 ， 稀 奇 古 怪 的 所 谓 “ 云 计算 ”产品 不 断 涌现 。 
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早 在 20 世纪 60 年 代 ， 美 国 科 学 家 John. McCarthy 就 提出 将 计算 能 力作 为 一 种 公共 设施 提 
供给 公众 ， 使 人 们 能 够 像 使 用 水 电 那 样 使 用 计算 资源 。 

针对 此 设想 ， 通 过 将 所 有 的 计算 资源 集中 起 来 ， 采 用 类 似 “ 效 用 计算 ”和 “软件 即 服 
务 ” 的 分 布 式 计算 技术 为 人 们 提供 “ 随 需 随 用 ”的 计算 资源 。 在 此 背景 下 ， 用 户 的 使 用 观念 会 
发 生 彻底 的 改变 ， 即 从 “购买 产品 ”到 “购买 服务 ”的 转变 ， 因 为 他 们 直接 面 对 的 不 再 是 复杂 













































































































































































了 











的 硬件 和 软件 ， 而 是 最 终 的 服务 。 用 户 不 需要 拥 
房 配置 专门 的 维护 人 员 等 ， 只 需要 















































看 得 见 、 摸 得 着 的 硬件 设施 ， 也 不 需要 为 机 
钱 汇 给 所 需 服务 的 供应 商 ， 就 会 得 到 所 需 的 服务 。 














伴随 着 互联 网 技术 的 发 展 和 普及 ， 特 别 是 Web 2.0 的 飞速 发 展 ， 各 种 媒体 数据 呈现 指数 增 
长 ， 逐 步 递 增 的 海量 异 构 媒体 数据 以 及 数据 和 服务 的 Web. 化 趋势 使 得 传统 的 计算 模式 在 进行 
大 数据 处 理 时 ， 其 表现 有 些 力 不 从 心 ， 新 的 问题 不 断 涌现 。 比 如 传统 计算 模型 至 少 在 如 下 两 个 



































限于 内 存 和 人 硬盘 容量 。 对 此 ， 人 们 和 
的 计算 速度 、 更 强大 的 处 理 能 力 和 存储 能 力 。 这 利 
出 现 之 时 ， 只 是 当时 的 应 用 领域 局 限于 科学 计算 。 
























































方面 已 经 不 能 适应 新 的 需求 : 一 是 计算 速度 上 受 限于 内 核 的 性 能 和 个 数 ， 二 是 竺 处理 数据 量 受 






































¥ 易 想到 ， 能 否 将 数量 可 观 的 计算 机 连接 起 来 以 获得 更 快 
坚决 方案 可 以 追踪 到 分 布 式 计算 模式 


























针对 上 述 构思 的 最 新 解决 方案 ， 是 在 谷歌 、j 
资源 和 计算 能 力 的 共享 以 及 应 对 互联 
为 中 心 的 新 商业 计算 模式 一 一 云 计 算 


























PAMER IT 企业 的 大 力 推 动 下 ， 为 实现 
上 各 种 媒体 数据 高 速 增长 的 势头 ， 所 提出 的 一 种 以 数据 

















术语 “ 云 ” 第 一 次 出 现 是 在 20 


网 的 一 种 隐喻 。 而 首次 在 学 术 上 使 朋 


















































基础 服务 供应 商 决 定 ”。 





然而 ， 当 下 流行 的 “ 云 计算 ”中 “ 云 ” 的 真 J 





























主要 是 指 大 型 的 ATM 网 络 ， 是 对 因 特 
词 的 是 1997 年 的 Ramnath Chellappa 教授 所 
描述 的 “ 云 计算 是 一 个 动态 的 计算 框架 ， 计 算 的 边界 由 技术 、 经 济 、 地 区 、 信 息 安 全 需求 以 及 




















E 发 端 是 在 21 世纪 初 ， 是 伴随 着 云 计算 鼻祖 





























之 一 的 Amazon 公司 于 2005 年 所 提出 的 允许 小 企业 和 私人 租用 其 所 提供 的 一 组 包括 存储 空 
间 、 计 算 能 力 等 资源 服务 的 称 为 亚马逊 EC2 的 出 现 而 出 现 的 。 





已 经 成 为 当今 最 流行 词汇 的 “ 云 















































| Google 的 前 首席 执行 官 Eric Schmidt 于 2006 


年 8 月 9 日 在 圣何塞 (San Jose) 举办 的 全 球 搜索 引擎 会 议 (Search Engine Strategies, SES) 


上 首次 提出 的 。 其 真正 作为 一 个 新 兴 的 技术 热门 名 词 被 IT 业 开 始 认可 并 进入 产品 化 流程 始 了 














2007 FEF. IJS, IT 行业 各 大 广 商 和 运营 商 纷 纷 4 
和 服务 不 断 涌现 。 例 如 IBM, Google, Amazon, Microsoft 和 Yahoo 等 IT 行业 巨头 都 顺势 推 











关 订 相应 的 战略 ， 新 的 概念 、 观 点 、 产 品 
































出 各 自 的 云 计算 产品 和 技术 。 同 时 ， 云 计算 也 引起 了 政界 和 学 术 界 的 普遍 关注 。 目 前 ， 世 界 各 
国都 把 云 计 算 作为 未 来 战略 产业 的 重点 。 比 如 2011 年 2 月 ， 美 国政 府 颁布 了 “联邦 云 计算 战 








We", 规定 “ 云 计 算 优 先 (Cloud First)”; 
战略 ， 我 国 “ 十 二 五 ”规划 纲要 也 把 云 计算 列 为 
总 之 ， 云 计算 的 出 现 为 信息 技术 领域 





~ 
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1.2.2 云 计算 的 定义 






































日 本 政府 提出 “Kasumigaseki Cloud ( 霞 关 云 计算 )” 
EE 点 发 展 的 战略 性 新 兴 产 业 。 
来 了 新 的 挑战 ， 也 为 信息 技术 产业 带 来 了 新 的 机 遇 。 






































云 计算 是 一 种 概念 性 的 说 法 ， 而 非 专 指 某 特定 的 信息 系统 。 对 云 计算 最 简单 的 理解 就 
是 将 计算 能 力 提供 出 来 作为 一 种 服务 ， 使 企业 或 个 人 可 以 通过 因特网 取得 服务 。 用 户 所 需要 的 








数据 ， 不 用 存储 在 个 人 计算 机 上 ， 而 是 放 在 网 络 的 “ 云 ” 
可 以 使 用 。 云 代表 了 规模 庞大 的 计算 能 力 ， 





















































F 面 ， 在 任何 可 以 使 用 网 络 的 地 方 都 










































































时 ， 让 用 户 随时 使 用 超级 计算 机 的 计算 能 力 和 最 新 应 月 














{应 商 建造 大 型 机 房 ， 提 供 各 种 软件 和 应 

















FE， 用 户 却 不 知道 服务 器 的 位 置 或 数 


























“ 云 ” 即 是 我 们 最 常 使 用 的 因特网 ;“ 端 ”是 指使 有 





据 的 所 在 ， 就 像 是 天 上 的 “ 云 ” 一 般 ， 虚 无 红 缉 又 抬头 即 见 。 























有 人 主张 将 Cloud Computing 翻译 为 “ 云 计算 ”， 但 也 有 人 将 它 解 读 为 “云端 计算 ”。 























日 者 端 或 泛 指 用 户 应 用 网 络 服务 来 完成 事情 的 

















方式 。 云 计算 的 目标 就 是 没有 软件 的 安装 ， 所 有 资源 都 来 自 云 端 ， 使 用 者 端 只 需要 具备 连 上 云 


4 

















端的 设备 和 简单 的 接口 如 浏览 器 即 可 。 因 此 云 计算 是 























种 基于 











上 腊 构 、 自 治 的 服务 为 个 人 和 企业 使 用 者 提供 “ 随 需 随 用 
种 基于 因特网 的 计算 新 方式 ， 通 过 
的 计算 。 云 计算 的 资源 是 动态 、 易 扩充 套件 而 且 























维基 百科 上 给 出 的 云 计算 定义 :“ 
治 的 服务 为 个 人 和 企业 使 用 者 提供 按 需 即 取 


























”的 计算 资源 。 












































虚拟 化 的 ， 通 过 因特网 提供 的 资源 ， 终 端 使 用 者 不 需要 1 




















解 云端 中 基础 设施 的 细节 ， 不 必 具 








相应 的 专业 知识 ， 也 无 须 直 接 进行 控制 ， 上 只 需 关 注 























络 来 得 到 相应 的 服务 ”。 
但 是 ， 当 谈 及 云 计算 的 定义 时 ， 大 多 数 和 














(National Institute of Standard and Technology, NIST) KEND: “ 云 计 算是 一 种 模式 ， 支 持 根据 用 
网 络 、 服 务 器 、 存 储 器 、 应 用 和 服务 ) 的 共享 
































户 需求 通过 网 络 方便 地 访问 可 配置 的 计算 资源 《如 

















池 ， 而 该 池 可 通过 最 少 的 管理 工作 或 服务 供应 商 干 预 进行 快速 配置 和 交付 。”。 
四 个 云 部 署 模 型 ， 如 图 1-2 所 示 。 



































提供 的 云 计算 定义 中 包括 了 五 个 基本 特征 、 三 个 云 服务 模型 和 


测量 服务 





快速 的 弹性 


























因特网 的 计算 模式 ， 通 过 因特网 








因特网 上 异 构 、 






































自己 真正 需要 什么 样 的 资源 以 及 如 何 通过 网 


究 者 都 会 引用 美国 国家 标准 与 技术 研究 院 














基本 特征 


按 需 自助 服务 | | 广泛 的 网 络 访问 

















图 1-2 NIST 提供 的 





需要 指出 的 是 ， 由 于 考虑 
和 Amazon 等 公司 也 都 从 自身 角 
不 同 ， 但 云 计 算 的 如 下 特性 是 可 以 被 明确 认同 的 ; 



































云 计算 定义 
的 角度 不 同 ， 业 界 对 云 计 算 的 提 法 也 稍 有 不 同 。IBM、Google 























UMOR 








» NIST 














度 出 发 给 出 了 云 计算 的 定义 。 尽 管 各 自 的 表述 方式 和 应 
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1) 硬件 和 软件 都 是 资源 ， 可 以 是 物理 的 ， 也 可 以 是 虚拟 的 ， 通 过 互联 网 以 服务 的 方式 提 























供给 用 户 。 
2) 资源 以 分 布 式 共 享 的 形式 存在 ， 以 单 
3) 资源 可 以 根据 需要 进行 动态 的 扩 B. 
4) 用 户 按 需 使 用 云 中 的 资源 ， 而 不 需要 管理 它们 。 
综 上 所 述 ， 云 计算 将 所 有 的 计算 资源 
















































































与 。 
降低 成 本 。 


123 zi simos 


整体 的 形式 呈现 。 





起 来 ， 并 由 软件 实现 自动 管理 ， 
这 使 得 应 用 提供 者 无 须 为 烦琐 的 细节 而 烦恼 ， 能 够 更 加 专注 于 自己 的 业务 ， 有 利于 创新 和 














云 计算 可 分 为 云 计算 服务 和 云 计算 技术 。 前 者 的 习 





























无 须 人 为 参 





EE 点 是 放 在 提供 信息 服务 给 用 户 ， 如 
Salesforce 公司 所 提供 的 在 线 客户 关系 管理 CRM 服务 及 Amazon 公司 所 提供 的 在 线 动态 虚拟 











主机 EC2 服务 等 云 计 算 解决 方案 ; 




















后 者 的 重点 是 放 在 提供 高 可 靠 性 的 信息 基础 平 


台 ， 如 IBM 








所 提供 的 蓝 云 数据 中 心 基础 建设 服务 及 即时 通信 软件 Skype 所 提供 的 P2P 语音 计算 平台 服务 
等 云端 计算 解决 方案 。 


124 云 计算 的 特点 


由 图 1-2 可 知 ， 由 NIST 给 出 的 云 计算 的 五 个 基本 特征 如 下 : 

(OD 按 需 自助 服务 ” 云 用 户 可 以 按 需 自动 获得 计算 能 力 ， 如 服务 器 时 间 和 网 络 存储 ， 而 
无 须 与 服务 供应 商 的 服务 人 员 互 动 ， 这 种 方式 有 别 于 传统 的 服务 需要 借助 人 力 协调 改变 。 

(2) 广泛 的 网 络 访问 ” 云 服务 能 力 通 过 网 络 和 标准 的 机 制 提供 ， 支 持 各 种 标准 接 入 手 
段 ， 包 括 各 种 客户 端 平 台 如 移动 设备 和 笔记 本 电脑 等 ， 也 包括 其 他 传统 的 或 基于 云 服 务 的 使 
]。 目 前 云端 的 使 用 大 部 分 都 是 通过 浏览 器 进行 。 

G) 资源 池 云 服 务 供应 商 将 其 计算 资源 汇集 到 资源 池 中 ， 采 用 多 租户 模式 ， 按 照 用 户 
需要 ， 将 不 同 的 物理 和 虚拟 资源 动态 地 分 配 或 重新 分 配给 多 个 用 户 使 用 。 资 源 通常 包括 存储 、 
CPU、 内 存 、 网 络 带 宽 以 及 虚拟 机 等 。 即 使 是 私有 云 ， 在 同一 组 织 内 部 的 不 同 部 门 往往 也 趋向 
将 资源 池 化 。 资 源 池 化 的 目的 是 在 众多 用 户 之 间 实 现 资源 共享 。 

(4) 快速 的 弹性 ”弹性 是 指 系统 能 够 根据 用 户 对 资源 需求 的 动态 变化 ， 动 态 地 调节 物理 
机 的 负载 ， 并 维持 系统 性 能 。 云 计算 中 的 物理 资源 在 随时 发 生变 化 ， 为 了 实时 保证 云 服务 的 性 
能 需求 ， 就 需要 云 计算 系统 能 够 及 时 地 捕捉 云 中 资源 的 变化 情况 ， 并 能 在 某 些 情况 下 自动 对 服 
务 占 有 的 资源 进行 快速 扩 窜 、 释 放 和 回收 。 对 于 用 户 来 说 ， 云 端 可 供应 的 服务 能 力 近乎 无 限 ， 
且 能 依据 自身 的 需求 ， 随 时 按 需 购买 所 需 的 计算 能 力 。 

(5) 可 测量 服务 ”用 户 购 买 的 服务 可 以 量化 并 测量 。 云 系统 之 所 以 能 够 自动 控制 优化 某 
种 服务 的 资源 使 用 因为 云 系统 利用 了 经 过 某 种 程度 抽象 的 测量 能 力 ， 如 存储 、CPU、 带 宽 
或 者 活动 用 户 账号 等 。 人 们 可 以 借 此 来 监视 和 控制 资源 使 用 并 产生 报表 等 。 

从 云 计算 的 概念 中 还 可 以 得 出 云 计算 的 特性 是 大 规模 、 多 用 户 、 虚 拟 化 、 高 可 靠 性 及 成 
本 低廉 等 。 

(1) 大 规模” 云 计 算 诞生 之 初 的 使 命 就 是 使 用 大 量 的 计算 机 ， 解 决 大 数据 集 处 理 的 问 
题 ， 并 存储 海量 数据 。 所 以 无 论 是 从 云 计算 本 身 的 规模 ， 还 是 其 处 理 数据 的 规模 ， 云 计算 的 一 
大 主要 特性 就 是 大 规模 。 

HAT, Google 公司 云 数 据 中 心 的 服务 器 已经 超过 百 万 台 ，IBM、Amazon 和 Yahoo 等 公司 
的 数据 中 心 也 有 几 十 万 台 服 务 器 。 企 业 私 有 云 一 般 也 拥有 数 百 甚至 上 千 台 服务 器 。 

(2) 多 用 户 ” 云 计算 的 另 一 大 特性 就 是 将 资源 分 享 给 许多 用 户 同 时 使 用 ， 其 不 同 于 以 往 
的 计算 模式 将 特定 的 资源 交付 给 特定 的 用 户 使 用 。 多 用 户 不 仅 体现 在 用 户 数 量 上 ， 而 且 体 现在 
] 户 种 类 上 ， 不 同 服务 需求 的 用 户 也 可 以 同时 使 用 同一 个 云 平 台 。 云 计算 平台 使 用 虚拟 化 技术 
满足 不 同 的 用 户 需 求 。 

G) 虚拟 化 ”虚拟 化 技术 是 云 计算 的 核心 ， 云 计算 的 虚拟 化 主要 体现 在 如 下 两 个 方面 : OK 
多 台 服 务 器 虚拟 成 统一 的 资源 提供 给 用 户 ， 使 用 户 可 以 透明 地 使 用 所 需 的 资源 而 不 需要 关心 底层 
的 技术 实现 细节 ;， 书 将 一 个 物理 资源 虚拟 成 多 个 虚拟 主机 提供 给 不 同 的 用 户 使 用 ， 通 过 虚拟 化 来 
隔离 用 户 。 总 之 ， 通 过 虚拟 化 技术 ， 云 计算 可 以 将 资源 统一 成 资源 池 ， 动 态 地 提供 给 用 户 使 用 。 

(4) 高 可 靠 性 ” 云 服 务 供应 商会 尽量 采取 多 种 措施 来 保障 其 所 提供 服务 的 高 可 靠 性 ， 如 
基于 数据 多 副本 的 容错 技术 和 自动 失效 节点 检测 技术 等 。 越 来 越 多 的 实例 已 经 表明 依靠 云 数 据 
中 心 来 处 理 任务 比 本 地 计算 机 更 可 靠 。 
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(5) 成 本 低廉 

















于 云 计算 的 特殊 容 


N, 
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的 云 ， 而 云 计算 所 采用 的 








动 化 管理 技术 则 显 








性 使 得 次 
用 ， 而 且 











1.2.5 云 计算 的 优势 


对 于 没有 庞大 内 部 IT 资源 的 9 
上 广泛 的 计算 、 存 储 和 网 络 产品 








IT 事务 。 他 们 可 以 利 月 





源 的 利用 率 得 到 大 幅 
可 以 按 需 使 用 廉价 的 有 
换 更 加 适合 的 服务 ， 提 高 了 资金 的 利 

















施 使 得 其 可 以 采用 极其 
上 著 降 低 了 云 数 据 中 心 的 运营 成 本 。 云 计算 的 通用 
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提升 。 对 
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pp 小 型 企业 而 言 ， 














和 需求 进行 扩 





展 ， 同 时 只 需 很 少 的 前 期 资本 文昌 


D 
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对 云 服 务 
业 软 伯 


提供 
被 破解 的 风险 。 


商 而 言 ， 





上 有 些 云 端 服务 业 供 应 商 可 色 
目前 的 情况 来 看 ， 云 计算 正在 颠覆 1 
来 许多 好 处 和 优势 。 比 如 








E) 





D 节省 开 文 。 据 统计 ， 


EKE 








EAER, TARE 





由 于 





下 云端 ， 企业 


昌 户 数据 完全 、 


JUE 





EE 未 把 月 

















] 户 而 言 ， 云 计算 不 但 省 
有 务 ， 同 时 能 根据 企业 成 长 的 需要 不 断 扩展 订购 的 服务 ， 不 断 


云 计算 服务 不 需要 将 软 伯 
然而 ， 把 数据 移 3 
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的 硬件 来 构成 庞大 
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云 计 算 可 以 让 他 们 专注 
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于 业务 经 





营 而 不 是 





8 组合 优势 ， 经 济 、 


高 效 地 随 企业 的 发 展 








安装 在 用 户 的 计算 机 











， 降 低 了 商 











可 能 面临 主管 当局 


审查 等 方面 的 所 


EX. JH 























彻底 地 删除 干净 ， 而 使 机 密 数据 外 泄 。 
上 世界 各 地 企业 的 YT 消费 方式 ， 采 用 云 计算 模式 可 带 











信息 设备 的 性 能 每 隔 18 


项 庞大 的 资本 
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文 出 ， 为 了 维持 
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巨额 的 信息 设 








服务 支付 费用 给 云 服 务 
事 成 本 和 管理 成 本 等 多 ] 
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项 管 到 


1 可。 云 计算 降低 的 不 











备 更 新 费用 ， 
仅仅 是 IT. 设备 成 本 ， 
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20 应 对 需求 。 随 着 


企业 不 断 发 展 ， 云 计算 环 

















以 相应 地 增加 
3) 





























] 户 无 须 担心 基 而 
的 监 挖 和 维护 。 除 保 订 
的 解决 方案 。 

H rx 安全 


4) 提高 P 



































或 减少 容量 ， 同 时 只 需 为 所 使 用 的 月 
设施 运 维 。 云 计算 服务 供 
FE 云 用 户 的 数据 安全 


性 与 合 规 性 。 





jos 








以 外 ， 他 们 








付费 。 
应 商 承 担 对 云 计算 平台 

















的 内 容 ， 进 而 提升 企业 竞 
境 将 随 之 增长 。 当 需求 无 法 预测 时 ， 
这 一 切 都 源 于 云 计 算 的 红 


村 企业 竞争 力 而 不 得 不 进行 
企业 只 需 就 其 本 身 所 需求 的 


同时 更 可 以 降低 人 
力 。 
企业 可 
性 特性 。 
及 务 进行 全 天 候 
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还 将 随时 按 云 户 的 需 








云 主机 托管 供应 
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EAK Ji 并 将 与 





j 户 合作 解决 合 规 性 和 监管 要 
5) 减少 碳 足 迹 。 在 数据 中 心 而 不 是 现场 进行 托管 








要 求 。 








商 将 从 基础 





求 提 供 创新 且 实 用 





























设施 层面 增强 弹 
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外 ， 由 于 云 服务 人 


间 等 资源 。 


v. 





向 在 共享 基 三 

















设施 上 托管 多 个 客 
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6) 资源 的 有 限 
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7) 可 移植 性 。 


这 一 特性 











计算 的 可 移植 性 ， 骨 省 节点 





的 任务 可 以 分 配 到 其 他 


1.2.6” 云 计算 的 挑战 与 机 会 











尽管 云 计算 前 景 
D Sf 


如 Chrome 操 





























片 看 好 ， 但 是 发 
授权 费 问 题 。 目 前 
作 系 统 和 Gmail 
商 的 产品 ， 届 时 软件 授权 费用 如 何 计 价 ， 有 

2) 安全 性 与 机 密 性 问题 。 


户 可 以 在 权限 许可 下 共享 云 计算 平台 
使 得 云 计算 服务 能 够 允许 云端 的 节点 HH 
的 节点 而 不 








ERTAN 


'H Re 
他 们 可 以 更 有 效 地 利 月 


性 和 灵活 性 以 控制 





技术 优势 。 此 
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E 源 、 水 和 空 





HRE 





P 的 数据 。 

















8 现 错误 


KB AER. 
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会 影响 





响 云 计算 月 











» Google 或 其 他 云 服 





展 云 计算 必然 会 面临 一 些 新 的 挑战 。 
有 务 都 是 日 家 的 产品 ， 











务 供应 商 所 提供 的 有 





























b 件 服务 等 。 但 是 从 长 














期 来 看 ， 云 服务 提供 














FATE) 











商 和 云 服务 供应 商 协商 。 








R 务 的 正确 


商 








运行 。 








比如 DJ; 


应 纳入 其 他 软件 三 


企业 和 政府 机 构 等 群体 ， 在 考虑 安全 性 的 情况 下 ， 不 太 可 能 把 


7 


他 们 的 数据 保存 在 别人 那里 。 因 为 这 涉及 政府 和 企业 的 机 密 ， 所 以 这 些 单位 通常 是 自 



























































































































































己 购买 服 
































务 器 和 软件 ， 自 己 搭建 专用 云 ， 并 服务 于 内 部 人 员 。 另 外 ， 云 使 用 者 的 行为 、 习 惯 及 爱好 等 被 
使 用 者 视 为 隐私 的 部 分 ， 将 会 更 直接 地 其 露 在 网 络 之 上 。 因 此 ， 云 计算 的 安全 性 与 机 密 性 是 企 
业 的 主要 关注 点 。 

3) 服务 移植 弹性 小 。 目 前 云 计算 并 无 统一 的 行业 标准 ， 也 就 是 说 ， 企 业 用 户 难 以 从 一 家 
云 服 务 供应 商 转 换 到 其 他 云 服务 提供 商 ， 即 降低 了 云 服 务 移植 的 弹性 。 

4) 数据 访问 速度 的 稳定 性 。 云 端 毕 竞 是 在 远方 ， 数 据 的 访问 速度 自然 远 比 不 上 本 地 的 计算 


机 系统 。 所 以 除非 客户 妆 
5) 用 户 被 绑架 问题 。 很 多 云 服务 提供 











联机 到 云端 的 速度 足够 快 ， 否 则 这 也 可 
商都 宣称 :“ 如 果 我 们 无 法 提供 

















就 应 该 可 以 离开 。 作 为 
公司 的 创始 人 Dan Koffler 所 言 :“ 云 1 























] 户 ， 你 应 该 
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享受 完全 的 探 人 


十 算 领 域 有 一 利 














BBC. AAT. id 


能 会 成 








WEISS. 
高 质量 的 服务 ， 你 


为 推 




















E 如 Hybrid Cloud Gateway 
流行 的 观念 ， 即 数据 是 有 重量 的 ， 一 旦 将 









































































































































数据 搬 进 云 服 务 提供 商 的 云端 ， 再 要 搬出 来 就 很 费劲 了 ” 其 原因 在 于 : 人 @ 很 多 云 服 务 提 供 商 
为 用 户 设置 了 重重 障碍 ， 使 之 难以 转 用 其 他 服务 商 所 提供 的 服务 ，@ 数 据 迁移 成 本 高 ， 即 使 将 
数据 迁 出 未 必 很 困难 ， 但 数据 迁 出 成 本 有 可 能 会 比 迁 入 的 成 本 更 高 。 
1.2.7 云 计 算 与 网 格 计算 的 差别 

云 计算 和 网 格 计算 都 是 由 分 布 式 计算 所 发 展 出 来 的 概念 。 云 计算 和 网 格 计算 之 间 并 没有 
太 大 的 不 同 ， 只 是 网 格 计算 这 个 名 词 出 现 得 比较 早 ， 它 的 重点 是 异 构 系 统 之 间 计 算 资源 的 束 


合 。 简 单 地 说 ， 就 是 让 不 同类 男 
此 的 计算 资源 。 在 因 
组 织 内 部 的 网 络 资源 达 























到 更 好 的 使 月 











for ExtraTerrestrial Intelligence, SETI) 计划 。 

















































































































的 计算 机 或 具有 不 同 操作 系统 的 计算 机 可 以 沟通 ， 并 且 分 享 彼 
特 网 还 没有 今天 这 么 发 达 之 前 ， 许 多 企业 采用 网 格 计算 
日 效率， 比较 知名 的 网 格 计 算 应 该 是 寻找 乡 






































其 


9 CN 





原因 是 为 了 让 
星人 CSearch 


Er 


























































































































































































































总 体 来 讲 ， 网 格 计算 与 云 计算 的 差别 在 于 : 

10 网 格 计算 强调 的 是 资源 共享 ， 在 网 格 系统 内 的 任何 用 户 都 可 以 获取 其 他 人 的 闲置 资 
源 ， 同 时 也 必须 贡献 出 自己 的 闲置 资源 给 其 他 人 ;， 云 计算 则 是 让 使 用 者 可 以 独占 资源 ， 这 些 资 
源 是 由 少数 的 机 构 和 组 织 提 供 ， 而 且 大 多 数 基于 云 计算 的 产品 都 要 保证 一 定 的 服务 质量 ， 一 般 
户 只 需要 付出 一 定金 额 即 可 租用 ， 而 无 须 奉献 出 自己 的 计算 资源 。 

2) 网 格 计 算 以 供 专 家 使 用 居多 ， 重 点 放 在 需要 复杂 计算 的 单一 任务 ， 云 计算 则 比较 偏重 
大 众 应 用 ， 多 数 应 用 不 需要 进行 复杂 的 计算 。 但 是 由 于 大 众 的 数量 相当 庞大 ， 所 以 累积 起 来 的 
计算 需求 也 相当 可 观 。 

3) 网 格 计算 通常 只 是 使 用 专属 的 应 用 协议 和 数据 格式 ， 但 云 计算 没有 此 限制 。 

4) 网 格 计算 着 眼 于 整合 众多 异 构 平台 。 云 计算 则 强调 在 本 地 资源 有 限 的 情况 下 ， 利 用 互 
联网 获取 云端 的 计算 资源 。 


5) 云 计算 的 





户 可 以 不 用 担心 不 同 设备 上 数据 无 法 同步 的 问题 ， 
服务 器 的 效能 ， 云 计算 i 
总 而 言 之 ， 我 们 可 以 


















































12.8 云 计算 的 发 展 历程 





云 计 算是 引领 未 来 新 技术 发 展 的 航向 标 ， 同 时 也 会 给 人 类 的 生产 和 生活 带 来 


| “ 云 计算 是 











ARELA Web 为 前 端 ， 数 据 全 部 放 后 端 ， 用 户 本 身 不 需要 保存 数据 。 这 样 月 
也 可 以 随时 访问 它 。 为 了 方便 管理 
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E 并 充分 运 




















通常 使 用 虚拟 化 技术 。 但 网 格 计算 不 存在 这 些 情况 。 
平民 化 的 网 格 计算 ”来 说 明 它们 之 间 的 关系 。 


巨大 的 变 

















革 。 了 解 云 计算 的 发 展 历程 ， 可 以 洞悉 云 计算 的 发 展 规律 ， 从 中 可 以 更 好 地 洞察 云 计算 技术 的 
发 展 趋势 。 下 面 是 对 云 计算 发 展 历程 的 简要 回顾 [。 
1959 年 6 H, Christopher Strachey 发 表 虚 拟 化 论文 ， 虚 拟 化 是 今天 云 计 算 基 础 架构 的 

































































基石 。 
1961 年 ，John McCarthy 提出 将 计算 能 力作 为 一 种 公共 设施 提供 给 公众 。 
1983 年 ，Sun 公司 提出 “网 络 即 计算 机 ”的 名 言 ， 用 于 描述 分 布 式 计算 技术 带 来 的 新 世 
界 ， 今 天 的 云 计 算 正 在 将 这 一 理念 变 成 现实 。 

1997 年 ， 南 加 州 大 学 教授 Ramnath K. Chellappa 提出 云 计 算 的 第 一 个 学 术 定 义 。 

1998 年 ，Vmware 公司 成 立 并 首次 引入 x86 的 虚拟 技术 。 

1999 年 ，Marc Andreessen 创建 第 一 个 商业 化 的 Iaag 平台 LoudCloud. 

1999 年 ，Salesforce 公司 成 立 ， 宣 布 “软件 终结 ”革命 开始 。 

2000 4E, SaaS 兴起 。 

2004 ^E, Google 公司 发 布 MapReduce 论文 。 

2004 *E, Doug Cutting 和 Mike Cafarella 实现 Hadoop 的 HDFS 和 MapReduce. 

2005 4E, Amazon 公司 宣布 Amazon Web Services 云 计算 平台 。 

2006 年 ，Amazon 公司 相继 推出 在 线 存储 服务 〈S3 ) 和 弹性 计算 云 (EC2)。EC2 允许 小 
企业 和 私人 按照 自己 的 需要 租用 其 数据 中 心 的 处 理 能 力 ， 即 弹性 计算 云 形 成 了 云 计 算 的 雏形 。 

2006 年 ，Sun 公司 推出 基于 云 计算 理论 的 “BlackBox” 计 划 。 

2006 年 8 月 9 H, Google 前 首席 执行 官 Eric Schmidt 在 全 球 搜索 引擎 会 议 上 第 一 次 提出 
云 计 算 概念 。Google 的 云 计算 源 于 “Google 101” 项 目 。 

2007 年 10 H, Google 和 IBM 公司 在 美国 大 学 校园 内 进行 云 计 算 的 推广 计划 。Google 和 
IBM 公司 为 斯 坦 福 大 学 、 麻 省 理工 学 院 、 卡 内 基 梅 隆 大 学 、 马 里 兰 大 学 及 加 州 大 学 伯克利 分 
校 等 大 学 提供 相关 的 软件 、 硬 件 设 备 及 技术 支持 。 此 计划 的 主要 目的 是 降低 分 布 式 计 算 技术 在 
科学 研究 领域 的 成 本 。 

2007 年 3 月 ，Dell 公司 成 立 数据 中 心 解决 方案 部 门 ， 先 后 为 全 球 五 大 云 计 算 平台 中 的 三 
^M (Windows Azure, Facebook 和 Ask.com) 提供 云 基础 架构 。 

2007 年 7 H, Amazon 公司 推出 简单 队列 服务 SQS， 这 项 服务 使 托管 主机 可 以 在 存储 计 
算 机 之 间 传 输 消息 。 

2007 年 11 H, IBM 公司 首次 发 布 云 计算 商业 解决 方案 ， 推 出 “ 蓝 云 ”计划 。 

2008 年 1 H, Salesforce 公司 推出 世界 上 首 个 Paas 应 用 。 

2008 年 1 月 30 H, Google 公司 在 中 国 台湾 开启 “ 云 计算 学 术 计 划 ” 项 目 。 

2008 年 2 H1 H, IBM 公司 决定 将 在 中 国 无 锡 建立 世界 上 首 个 云 计算 中 心 。2008 年 $ 月 
10 日 ， 此 云 计 算 中 心 投入 运营 。2008 年 6 月 24 日 ，IBM 公司 在 北京 IBM 中 国 创 新 中 心 成 立 
IBM 大 中 华 区 云 计算 中 心 。 

2008 年 7 H 29 H, Yahoo, Intel 和 HP 公司 宣布 一 项 横 跨 新 加 坡 、 德 国 和 美国 的 联合 研 
究 计划 ， 以 此 来 推动 云 计算 的 发 展 。 该 计划 要 与 合作 伙伴 创建 6 个 数据 中 心 作为 研究 试验 平 
台 ， 其 中 每 个 数据 中 心 配置 1400 ~4000 个 处 理 器 。 
2008 年 10 H, Microsot 发 布 其 公有 云 计 算 平 台 Azure， 由 此 拉 开 了 微软 的 云 计算 大 幕 。 
2009 年 1 月 ， 阿 里 软件 在 江苏 南京 建立 首 个 “电子 商务 云 计算 中 心 ”。 
2010 年 3 H 5 H, Novell 公司 与 CSA 共同 宣布 一 项 云 计算 服务 供应 商 中 立 计划 ， 即 “可 


9 































































































































































































































































































































































































































































































































































































































































































































































































信任 云 计 算计 划 (Trusted Cloud Initiative)”. 

2010 年 7 H, NASA 与 包括 Rackspace, Intel, AMD, Dell 等 在 内 的 一 些 支 持 厂 商 共 同 宣 
布 “OpenStack” 计 划 。 与 此 同时 ， 微 软 在 2010 年 10 月 表示 支持 OpenStack 与 Windows 
Server 2008 R2 的 集成 。2011 年 2 H, Cisco 正式 加 入 OpenStack 计划 ， 并 着 重 研 发 基于 
OpenStack 的 互联 网 服务 。 

2011 年 10 月 20 H, “KZ (Grand Cloud)” 宣 布 旗下 产品 MongoIC 正式 对 外 开放 ， 这 
是 中 国 第 一 家 专业 的 MongoDB 云 服务 ， 同 时 也 是 全 球 第 一 家 文 持 数 据 库 恢复 的 MongoDB 云 
服务 。 

2012 年 9 月 ， 欧 盟 委 员 会 发 布 “ 释 放 欧 洲 云 计 算 潜 力 ” 报 告 ， 提 出 建立 涵盖 标准 符合 
性 、 互 操作 性 和 数据 可 迁移 性 等 内 容 的 云 服 务 认证 体系 。 

2013 年 ， 微 软 推 出 云 操作 系统 ， 包 括 Windows Server 2012R2、System Center 2012 R2 和 
Windows Azure Pack 在 内 的 一 系列 企业 级 云 计算 产品 及 服务 。 

2014 年 ， 谷 歌 公 司 宣布 全 面 文 持 Hadoop. 


12.9 云 计算 国内 外 发 展现 状 

2007 年 年 底 ， 云 计算 开始 受到 关注 并 迅速 得 以 发 展 ， 其 发 展 前 景 十 分 广阔 。 到 目前 为 
1E, Google, IBM, Microsoft 和 Amazon 等 世界 级 IT 大 型 公司 都 推出 了 各 自 的 云 计 算 平 台 ， 
并 把 云 计算 作为 他 们 未 来 重点 发 展 的 最 主要 战略 之 一 。 

Google 是 云 计算 技术 的 领跑 者 ， 同 时 也 是 云 计 算 技 术 的 最 大 实践 者 。Google 基于 云 计 算 
提供 了 大 量 的 云 服务 ， 如 Google Gmail, Google Docs, Google App Engine、 文 件 处 理 系 统 
GFS、 分 布 式 计算 编程 模型 MapReduce、 分 布 式 锁 服 务 Chubby、 分 布 式 结构 化 数据 表 
BigTable、 分 布 式 存储 系统 Megastore、 分 布 式 监控 系统 Dapper 等 云 计算 技 术 。 
作为 互联 网 上 最 大 的 在 线 零售 商 ，Amazon 也 推出 了 自己 的 云 产 品 ， 如 弹性 计算 云 EC2、 
简单 存储 服务 S3、 简 单数 据 库 服 务 SimpleDB、 简 单 队 列 服 务 SQS、 弹 性 MapReduce 服务 、 
内 容 推 送 服务 CloudFront、 电 子 商务 服务 DevPay 和 FPS， 涉 及 数据 均衡 和 数据 冲突 处 理 等 云 
计算 技术 。 其 中 最 具 代 表 性 的 是 S3 和 EC2。 

2007 年 ，IBM 推出 “ 蓝 云 ”计算 平台 。 蓝 云 计算 平台 包括 一 系列 的 云 计算 产品 ， 它 通过 
架构 一 个 可 全 球 访问 的 、 分 布 式 的 资源 结构 ， 使 数据 中 心 在 类 似 于 互联 网 的 环境 下 运行 计算 。 
图 1-3 X IBM 蓝 云 产品 架构 。 












































































































































































































































数据 中 心 ( 刀片 服务 器 ) 


| 








"WW Tivoli 监视 代理 
都 堵 裸 机 和 
监视 虚拟 服务 器 
Tivoli 
D 





FOE | is 于 Linux 和 Xen 的 虚拟 化 基础 架构 
数据 库 | | 应 用 服务 器 | | 。 管理 器 


图 1-3 IBM Mz d 
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由 图 1-3 可 知 ， 蓝 云 计算 平台 由 


Manager), IBM Tivoli 监控 软 从 








度 。“ 蓝 去 ”软件 的 一 个 重 



































一 个 数据 中 心 、IBM Tivoli 部 署 管理 软件 〈Tivoli Provisioning 
F (BM Tivoli Monitoring), IBM WebSphere 应 用 服务 器 和 IBM 
DB2 数据 库 组 成 ， 采 用 了 PowerVM 和 Xen 虚拟 化 软件 、Linux 操作 系统 映像 以 及 Hadoop。 

“ 蓝 云 ”的 硬件 平台 环境 与 一 般 的 x86 服务 器 集群 类 似 ， 只 是 使 用 刀片 的 方式 增加 了 计 
要 特点 是 虚拟 化 技术 的 使 用 。 虚 拟 化 的 方式 在 “ 蓝 云 ”中 有 两 个 级 






















































































3): 一 个 是 在 硬件 级 别 上 实现 虚拟 化 ， 男 一 个 是 通过 开源 软件 实现 虚拟 化 。 便 件 级 别 的 虚拟 化 











用 开源 的 Xen 虚拟 化 软件 ， 
平台 的 另 一 特点 是 使 用 Hadoop。 
继 Amazon. Google 和 IBM 之 后 ， 




















通过 Xen 





微软 于 2008 年 10 月 推出 了 自己 的 云 计算 产品 ， 即 











可 以 借助 IBM P 系列 服务 器 和 IBM PowerVM 虚拟 化 解决 方案 实现 。 软 件 级 别 上 的 虚拟 化 采 
能 够 在 Linux 基础 上 运行 另外 一 个 操作 系统 。 蓝 云 软件 






































Windows Azure 操作 系统 。Azure 通过 在 互联 网 架构 上 打造 新 云 计算 平台 ， 让 Windows 真正 由 PC 
延伸 到 “蓝天 ”上 。Azure 的 底层 是 微软 全 球 基础 服务 系统 ， 由 遍布 全 球 的 若干 数据 中 心 构 成 。 


除了 我 们 所 熟知 的 IT 巨头 的 云 讨 
势 。 例 如 : COEucalyptus 是 一 种 开 
它 最 初 是 加 利 福 尼 亚 大 学 为 进行 云 计算 开 



































S3 的 服务 接口 兼容 ， 
EC2 一 样 ，Eucalyptus 依赖 于 Xen 进行 










































































| 算 平台 外 ， 开 源 云 计 算 平 台 更 是 被 认为 是 IT 的 发 展 走 








[ms 











源 的 软件 基础 结构 ， 通 过 集群 或 工作 站 和 群 实现 弹性 的 云 计 算 。 
f 究 而 开发 的 Amazon EC2 的 一 个 开源 实现 ， 与 EC2 和 


























使 用 这 些 接口 的 所 有 











现 有 工具 都 可 以 与 基于 Eucalyptus 的 云 协同 工作 。 与 

















J 操作 系统 虚拟 化 ， 现 在 已 经 商业 化 ， 发 展 成 了 Eucalyptus 

















Systems Inc。 不 过 ，Eucalyptus 仍然 按 开源 项 
































FIR 源 工具 
态 自 适应 地 随 服 务 器 J 
管理 私有 云 ， 同 时 提供 














进行 维护 和 开发 。@OpenNebula 是 一 款 为 云 计算 




















箱 。OpenNebula 的 目标 是 将 一 群 实体 集群 转换 为 弹性 的 虚拟 基础 设备 ， 且 可 



































[ 作 负 载 变化 而 改变 。 
专门 的 适配器 与 Amazon EC2 配合 来 管理 混合 云 。 除 了 像 Amazon 一 样 


EMAS Xen, KVM 或 VMware ESX 一 起 建立 和 




















的 商业 云 服务 供应 商 外 ， 在 不 同 OpenNebula 实例 上 运行 私有 云 的 Amazon 合作 伙伴 也 同样 可 以 








作为 远程 云 服务 

















t 应 商 。 目 前 ，OpenNebula 可 文 持 Xen. KVM 和 VMware， 以 及 实时 存 取 
它 还 文 持 对 象 文档 的 传输 、 





复制 和 虚拟 网 络 的 管理 。OpenNebula 支持 多 种 身份 验证 方 





， 包 括 基 本 的 用 户 名 和 密码 验证 











在 中 国 ， 起 























计算 的 主要 ] 


扩展 开 来 。2008 4E 5 H 10 








心 并 投入 运营 。2008 年 6 
中 心 即 IBM 大 中 华 区 云 计算 ， 
随后 ， 一 些 国 内 的 IT 
和 了 曙光 等 ， 也 对 云 计算 进行 了 下 
中 国 移动 自 2007 年 起 开始 推出 “大 云 (Big Cloud)” 计 划 ， 目 标 是 建造 业务 平台 云 、IT 
H21 日 召开 的 第 二 届 中 国 云 计算 大 会 上 正式 发 布 “ 大 云 ” 












































支撑 云 和 公众 服务 云 ， 在 2010 年 5 


























H 24 












































心 。 





E， 以 及 通过 SSH 协议 进行 密 钥 验证 。 
赠 长 点 在 于 国内 
，IBM 在 中 











IT 企业 兴起 的 云 计算 中 心 的 建立 ， 以 IBM 为 中 心 





国 无 锡 太湖 新 城 科教 产业 园 建立 中 国 第 一 个 云 计算 中 
，IBM 在 北京 BM 中 国 创 新 中 心 成 立 了 中 国 第 二 家 云 计算 


















































Ek 





如 中 国 移动 、 



























































百度 、 ! 国电 信 、 阿里 巴巴 、 腾讯 、 华为 、 中 兴 










































































1.0 版 本 。 该 平台 包括 分 布 式 文件 系统 、 分 布 式 海量 数据 仓库 、 分 布 式 计算 框架 、 集 群 管理 、 
云 存储 系统 、 弹 性 计算 系统 和 分 布 数据 挖掘 工具 等 功能 
2008 年 11 H 25 H, PE 





















































电子 学 会 专门 成 立 了 云 计算 专家 委员 会 2009 Œ 5 H 22 H, 














中 国电 子 学 会 组 织 的 首届 中 


























2009 年 9 














现 ， 而 且 命名 为 “阿里 云 ” 


院 以 及 B2B 与 淘宝 的 底层 技术 团队 组 成 ， 





H 10 H, Æp 






































国 云 计 算 大 会 隆重 举行 。 
巴巴 10 周年 庆 






































的 子 公 








典 
\ 司 正式 成 立 。 该 公 
主要 从 事 基础 技术 的 研发 ， 并 将 推出 用 于 电子 商务 























会 上 ， 阿 里 巴巴 云 计 算 团 队 以 独立 身份 出 
司 主要 由 原 阿里 软件 、 阿里 巴巴 集团 研究 
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服务 的 云 计算 中 心 。 

2009 年 ， 世 纪 互 联 成 立 了 专门 的 云 计算 公司 云 快 线 ， 云 快 线 从 aas 切入 云 计 算 ， 目 前 ， 
已 有 CloudEx 弹性 计算 (CloudEx Computing Service) 和 CloudEx 弹性 存储 (CloudEx Storage 
Service) 两 蒜 产 品 。 从 技术 层面 看 ，CloudEx 平台 采用 了 硬件 设备 虚拟 化 技术 ， 把 物理 层面 的 
计算 机 、 服 务 器 和 CPU 等 设备 虚拟 成 为 一 个 资源 池 。 用 户 的 需求 是 分 配 和 划分 虚拟 机 的 唯一 
标准 。 它 使 得 运营 商 可 以 得 到 更 加 便捷 的 云 计算 服务 ， 实 现 了 资源 的 跨 地 域 和 跨 平 台 的 部 署 ， 
形成 了 统一 分 配 机 仍 

新 浪 在 2009 年 推出 Web 应 用 开发 与 运行 平台 SAE™， 主 要 面向 国内 用 户 ， 提 供 集成 式 开 
发 平台 。 

2011 年 6 月 30 日 ， 天 津 大 学 与 曙光 信息 产业 股份 有 限 公 司 合作 共 建 “天 津 大 学 云 计算 中 
心 ” 的 协议 签订 仪式 在 天 津 大 学 举行 。 这 是 我 国 首 个 高 校 云 计算 中 心 ， 该 中 心 的 目标 期 望 是 达 

到 提供 每 秒 计算 速度 达 11 万 亿 次 的 计算 能 

2013 年 8 月 ， 作 为 国内 首 个 物 联 网 云 计算 中 心 的 无 锡 城 市 云 计算 中 心 正式 启用 。 

2014 年 1 H, EAT NVIDIA 公司 和 思 杰 公司 共同 合作 推出 图 形 云 计算 产品 ， 解 决 
了 GPU 硬件 虚拟 化 的 技术 难题 ， 这 是 我 国 首 款 真正 意义 上 的 专业 图 形 云 计算 产品 。 

总 体 来 讲 ， 国 内 主要 是 由 大 型 互联 网 公司 提供 云 计算 服务 ， 业 务 主要 是 以 IaaS+Paag 形式 
的 开放 平台 服务 ， 其 中 Ias 服务 已 经 较为 成 熟 ， 而 Paas 服务 尚 处 于 起 步 阶段 。 
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13 云 计算 服务 模型 
理解 云 计算 的 两 个 重要 方面 就 是 理解 它 的 服务 模型 和 部 署 模型 


13.4 SPI 服 务 模型 


云 计算 的 主要 原则 之 一 就 是 “as-a-Service” 范 式 的 一 些 服务 。 这 些 服务 是 由 服务 供应 商 提 
供 。 目 前 ， 大 家 对 云 计 算 的 服务 模型 已 有 了 一 个 相对 统一 的 认识 ， 即 在 云 计算 中 ， 根 据 资源 池 
中 资源 的 类 别 ， 把 云 计 算 所 提供 的 3 类 服务 〈 平 台 即 服务 、 基 础 设施 即 服务 和 软件 即 服务 ) 归 
类 为 SPI 服务 模型 。 

“SPI” 这 个 缩 略 词 对 应 SaaS. Paas 和 IaaS 的 首 字母 。 图 1-4 所 示 为 SPI 服务 模型 框架 m1。 
其 中 ，IaaS 是 所 有 云 服务 的 基础 ，Paag 建立 在 laas 之 上 ， 而 SaaS 又 建立 在 PaaS 之 上 。 


软件 即 服务 
平台 即 服务 
框架 即 服务 ~ 


图 1-4 SPI 服务 模型 框架 


























































云 服务 模型 
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SPI 模型 代表 服务 。 不 同 应 用 领域 和 不 同 部 署 类 型 的 云 都 可 以 用 来 作为 一 种 服务 。SPI WE 





架 是 目前 最 被 广 为 接 受 的 云 计算 分 类 机 制 。 事 实 上 ，NIST、CSA 和 其 他 组 织 都 遵循 这 个 机 














架 ， 绝 大 部 分 云 服 务 供应 商 也 支持 这 个 概念 。 


L32 laaS 模型 


NIST 对 IaaS 的 阐述 是 :“ 提 供 
源 ， 其 中 云 用 户 能 够 部 署 和 运行 任意 软 从 
或 控制 底层 的 云 基础 设施 ， 但 是 拥有 对 操作 系统 的 探 氏 É j 
择 网 络 组 件 如 防火 墙 和 负载 均衡 器 等 ”>。 换 言 之 ，Iaag 供应 商 提 供给 用 户 所 需要 的 计算 机 硬 
件 、 网 络 和 其 他 必要 的 基础 
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JP REJ Je zs Ab 














设施 资源 。 它 包括 了 将 资 
































源 抽象 化 的 能 


He 


里 、 存 储 、 网 络 和 其 他 基本 的 计算 资 
F， 它 可 以 包括 操作 系统 和 应 用 程序 。 该 用 户 并 不 管理 
症 、 存 储 及 部 署 的 应 用 程 


















































序 ， 并 有 可 能 先 























并 交付 连接 到 这 些 资 源 














的 物理 或 逻辑 网 络 连 接 ， 终 极 状态 是 IaaS 供应 商 提供 一 组 API， 人 允许 消费 者 与 基础 设施 进行 
管理 和 其 他 形式 的 交互 。 














IaaS 是 云 服 务 供应 商 向 用 户 出 租 其 所 能 提供 的 计算 
种 资源 。 用 户 可 以 利用 付费 租 来 的 资源 去 开发 和 部 署 属于 自己 
操作 系统 和 软件 等 。 这 种 服务 类 型 依靠 的 





的 任意 应 用 程序 





如 

















是 云 平 台 上 的 虚拟 计算 机 集群 的 计算 能 力 和 安全 稳定 的 存储 能 
JJ. Tas 的 最 大 优势 就 是 用 户 可 以 
是 按照 使 用 的 节点 量 来 计算 的 ， 即 
































算 能 力 和 存储 能 力 ， 大 大 降 1 
下 ， 用 户 对 配置 的 资源 有 控 
有 控制 权 。Iaas 模型 如 图 1-5 所 示 。 


N 

















r 


IaaS 供应 商 需 提供 如 下 功能 : 


























自行 申请 和 释放 节点 ， 费 用 





sg 
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ny 








氏 了 在 便 件 上 的 开销 。 在 这 种 情况 
制 能 力 ， 


但 对 底层 的 云 基础 设施 没 

















EE 力 、 存 储 功能 、 





网 络 计 算 和 其 他 多 








:用 户 控制 























用 户 与 供应 商 
共同 控制 








云 供应 商 控制 








图 1-5 IaaS 模型 



































































































































1) 资源 抽象 。 使 用 资源 抽象 的 方法 能 更 好 地 调度 和 管理 物理 资源 。 

2) 资源 监控 。 通 过 对 资源 的 监控 ， 能 够 保证 基础 设施 高 效 运行 。 

3) 负载 管理 。 通 过 负载 管理 ， 不 仅 能 使 部 署 在 基础 设施 上 的 应 用 更 好 地 应 对 突 发 情况 ， 
而 且 还 能 更 好 地 利用 系统 资源 。 

4) 数据 管理 。 数 据 的 完整 性 、 可 用 性 和 可 管理 性 是 对 Iaag 的 基本 要 求 。 

5) 资源 部 署 。 将 整个 资源 从 创建 到 使 用 的 流程 自动 化 。 

6) 安全 管理 。 保 证 基础 设施 和 其 提供 的 资源 能 被 合法 地 访问 和 使 用 。 














D 计 费 管理 


Rackspace 和 NASA 联手 
望 给 用 户 提供 云 服务 的 托管 供应 商 们 创 
机 会 。Eucalyptus 也 是 典型 IaaS ^F 
作 站 群 实现 弹性 的 、 实 月 
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。 通 过 细致 的 计 费 管 




















里 能 使 












































造 了 进入 云 计 算 领 域 的 











的 云 计算 。AWS Æ H 








服务 供应 商 之 


1.3.3 PaaS 模型 


1. PaaS 概述 
PaaS 模型 如 图 1-6 所 示 。NIST 对 Paas 的 阐述 是 :“ 提 供给 


用 户 的 能 力 是 可 以 使 得 用 户 在 云 平台 

















台 之 一 ， 通 过 计算 集群 或 工 
前 主要 的 IaagS zs 
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, EC2 是 其 提供 的 热门 服务 。 

















的 基础 设施 上 部 署 属于 自 





] 户 更 灵活 地 使 用 资源 。 
出 的 云 计算 平台 OpenStack 是 典型 的 IaaS ^F 


人 
口 














云 用 户 与 供应 商 
k 同 控制 

















云 供应 商 控制 








图 1-6 Paas 模型 
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己 的 应 用 ， 用 户 部 署 自己 应 用 的 同时 可 以 使 用 供应 商 押 提供 的 支撑 编程 工具 和 程序 开发 语言 。 
消费 者 无 须 管理 或 控制 底层 的 云 基础 设施 《网 络 、 服 务 器 、 操 作 系统 和 存储 等 )， 但 消费 者 控 




















Paas 模型 的 主要 目的 是 给 应 用 程序 开发 者 提供 
部 署 与 管理 的 环境 ， 让 他 们 能 创 


制 对 该 部 署 的 应 月 








程序 和 有 可 能 应 用 托管 环境 的 配置 ”。 
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HERE. 


在 Paas 模式 中 ， 平 台 通 常 包括 操作 系统 、 编 程 























程序 
造 并 开发 出 新 的 服务 或 应 





























语言 的 运行 环境 、 数 据 库 和 


























As 








等 。 用 户 完 全 不 需要 也 不 能 对 网 络 及 月 





署 自己 的 应 



























































具体 可 以 归 类 为 应 











]。 这 种 服务 模式 能 够 给 
户 自行 开发 的 成 本 ， 又 可 以 完全 实现 软件 的 重用 

Paas 平台 在 云 架 构 中 位 于 中 间 层 〈 见 图 1-4)。 
服务 器 、 业 务 能 力 接 入 、 业 务 引擎 和 业务 
要 测算 基础 服务 能 力 ， 通 过 laas 提供 的 API 调用 硬件 资源 ， 

















及 务 器 等 底层 基础 设施 进行 管 
用 户 提供 










































































Paas 能 将 














开放 平台 
































时 监控 平台 的 各 种 资源 ， 并 将 这 些 资源 通过 API 开放 给 SaaS 用 户 。 





Gartner 把 Paas 可 








区 














台 划 分 为 两 类 [1: 








平台 IPaaS。 人 们 经 常 说 的 Paas 平台 主要 是 指 APaaS， 如 新 浪 的 SAE、 人 谷歌 的 





的 Azure 都 是 其 典型 例子 。 其 中 ，Saleaforce 公司 
Paas 的 平台 。PaaS 的 理念 也 是 该 公司 提出 来 的 。Force.com 向 企业 提供 
实施 业务 应 用 程序 所 需 的 一 切 ， 包 括 数据 库 、 无 限 上 
和 审批 、 可 编程 云 还 辑 、 





用 者 提供 
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zm 


成 、 实 时 移动 部 署 、 可 编程 的 用 户 界 
































Az 
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Web 应 用 


























发 平台 ， 并 对 所 使 用 的 资源 进行 




















兼容 


生 问题 较 少 ; 











Y. Ass 
md 




















xx 





Es 


里 功能 以 及 帮助 











开发 平台 ， 也 就 是 提供 
用 ， 并 且 快 速 地 将 其 软件 或 程序 部 


岗 有 的 各 种 业务 能 力 进行 
， 问 下 根据 业务 能 力 需 
向 上 提供 业务 调度 中 心服 务 ， 实 


在 云端 上 快速 
的 实时 定制 、 强 大 的 分 析 、 实 时 工 
押 和 网 站 功能 。 
严格 分 配 ， 使 平台 上 托管 的 应 


一 个 建构 、 





Web 服务 器 


里 和 控制 ， 但 可 以 控制 和 部 
更 多 的 、 更 高 效 的 硬件 和 软件 服务 ， 既 可 以 减少 


HA 


AE n» 





一 类 是 应 用 部 署 和 运行 平台 APaaS; 男 一 类 是 集成 


GAE、 微 软 


的 Force.com 是 业界 内 第 一 个 可 以 称 为 





创建 和 
作 流程 
GAE 为 使 
用 拥有 








恨 好 的 自动 扩充 性 以 及 高 可 用 性 。 其 主要 特征 : GO 应 用 的 开发 和 运行 都 基于 同村 


的 平台 ， 故 








© 














开发 人 员 对 应 用 进行 监控 和 计 费 。 








为 了 支撑 整个 PaaS 平台 的 运行 ， 服 务 供应 商 需 提 供 如 下 功能 : 


1) 友好 的 开发 环境 。 


测试 。 














发 者 无 须 考 虑 系统 可 允许 的 应 用 扩充 性 和 服务 容量 等 问题 ，@@ 可 提供 



































通过 提供 











IDE 等 工具 使 用 户 能 在 本 地 方便 地 进行 应 








JI JT ACRI 











2) 丰富 的 服务 。PaaS 平台 会 以 API 的 形式 将 各 种 各 样 的 服务 提供 给 上 层 的 应 用 。 



































































































































3) 自动 的 资源 调度 。 此 特性 不 仅 能 优化 系统 资源 ， 而 且 能 自动 调整 资源 来 帮助 运行 于 其 
上 的 应 用 更 好 地 应 对 突 发 流量 。 

4) 精细 的 管理 和 监控 。 提 供 对 应 用 层 的 管理 和 监控 ， 如 通过 精确 计量 应 用 所 使 用 和 消耗 
的 资源 来 更 好 地 计 费 。 

这 种 服务 模式 的 优势 ， 是 解决 了 平台 价格 昂贵 、 平 台 即 时 升级 、 用 户 需 求 估算 不 够 科学 
及 平台 管理 复杂 等 问题 。 





2. 示例 


当 以 传统 的 方式 搭建 一 个 Web 网 站 时 ， 外 





入 需要 先 购置 并 托管 服务 器 ， 然 后 安装 操作 系 





统 及 各 种 服务 软 人 

















行 环境 还 会 有 
站 才能 上 线 。 














定 的 差别 ， 需 要 把 代码 部 署 至 


等 ， 待 所 有 烦琐 的 工作 都 准备 好 之 后 才能 寻 





I 运行 环境 当中 











FP 进 行 测试 ， 当 一 切 都 处 开 


F 始 编写 代码 。 而 且 








开发 环境 与 运 





E 好 后 ， 网 





假如 使 用 PaaS 开发 和 部 署 一 个 Web 网 站 ， 则 会 使 Web 部 署 工作 变 得 极其 简单 。 例 如 ， 
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搭建 各 种 环境 等 。 





使 用 SAE， 用 户 可 以 在 任何 时 间 、 任 何 地 点 登录 到 SAE， 通 过 浏览 器 就 可 以 编写 代码 ， 随 时 
随地 都 可 以 进行 部 署 调试 ， 只 需要 单 击 按钮 ， 切 换 一 下 版 本 就 可 以 上 线 了 ， 不 必 购 置 服务 器 和 





























为 了 实际 体会 PaaS 平台 ， 我 们 可 以 注册 新 浪 云 SAE， 并 进行 简单 的 代码 开发 与 发 布 。 
SAE xf Python, PHP 和 Java 三 种 开发 语言 ， 文 持 MySQL 和 NoSQL 两 种 数据 库 。 同 时 
SAE 还 具备 版 本 管理 功能 等 ， 总 之 ，SAE 提供 了 开发 一 个 应 用 程序 所 需要 的 全 部 环境 。 

SAE 首页 、 代 码 编辑 界面 和 代码 发 布 测试 界面 分 别 如 图 1-7 一 图 1-9 所 示 。 
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成 功 案例 资费 服务 列表 


分 布 式 WEB 服 务 的 开发 、i 
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RESE Web 服 务 器 E Er 


Load Balancer Web Servers Cache Database Security Task Schedulers 


“7 层 ? 反 向 代理 
SAE 架 构 的 最 外 层 是 "7 层 "， 为 SAE 提 供 负载 均衡 、 健 康 检查 等 功能 。 
7 层 "是 HTTP 反 向 代理 ,负责 响应 用 户 的 HTTP 请 求 ,分 析 请 求 ， 并 转发 到 后 端的 Web 服 务 池 
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图 1-9 代码 发 布 测试 界面 





Q-BE-cii&-25-«» &- BD- 





15 


3. Paas 发 展 前 景 
由 于 企业 对 软件 











户 提供 灵活 
hil 





























用 程序 





性 和 自主 权 的 同时 
| COrchestration?) 能 力 ， 而 Paas | 
期 中 需求 分 析 、 设 计 、 开 发 、 
开发 的 技术 难度 及 


在 业界 ， 自 2011 


， 增 添 了 复杂 





性 。 








测试 、 
开发 成 本 。 





年 上 半年 以 来 ，PaaS ^ 








化 技术 厂商 的 重视 。 其 ， 
源 的 优势 吸引 软件 
公司 Beanstalk 合作 ， 

深入 分 析 从 过 去 到 现在 各 大 云端 公司 
发 语言 的 支持 数量 的 多 寡 两 个 轴 





望 以 开 
发 平台 

















提供 以 











多 开 





言 ， 预 期 未 来 





发 语言 与 跨 平台 运作 的 特性 
F 台 将 走向 可 支持 多 种 运行 时 系统 ， 




















厂商 快速 扩大 
使 用 各 种 开 
术 ， 所 以 























源 开 
开发 者 的 应 月 














J BN 
发 工具 





























Foundry 可 以 支持 多 种 
发 框架 等 。Cloud Foundry 平台 也 提供 


Java 虚拟 机 开 
库 服务 。 























因此 ， 有 
最 终 目 标 。 
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1.3.4 SaaS 模型 
1. SaaS 概述 


SaaS 模型 如 
设施 上 的 、 由 云 月 
览 器 这 样 的 瘦 客 户 * 











的 云 基础 设施 ， 
个 应 用 和 
Ail 
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SaaS 模型 的 主要 目的 是 使 传统 上 
安装 、 执 行 及 维护 软 从 
维护 ， 主 
当 作 软件 发 布 方式 的 软件 
使 用 的 软件 递送 模式 ， 除 了 利 有 


装 、 执 行 3 


] Web 平台 






































集中 





序 的 功能 











包括 














čo (HA PRIA 


要 是 提供 








发 框架 








由 相信 ， 更 多 的 中 小 企业 将 


网 络 、 服 务 器 、 操 作 系统 和 存储 ， 其 





开发 者 与 厂商 的 投入 。 甚 至 


规模 。 比 如 ，2011 年 提 
[中 间 件 来 提供 














BE. 

















男 外 ，IaaS 可 能 无 法 通过 i 
: 珊 底 层 的 硬件 基础 架构 ， 为 用 户 提供 


开发 和 维护 所 投入 的 时 间 和 资金 有 限 ， 导 致 Saas 在 原 地 停留 。 


IaaS 为 












































运行 及 维护 各 阶段 所 需 的 工具 ， 














PEAS 
o 


Java 为 基础 的 程序 开发 ri 














推出 的 程序 开 
向 分 析 后 可 发 现 ， 近 年 来 程序 开 
E， 其 中 更 可 发 现 Java 语言 为 各 大 开发 3 





太公 
bl: 


RA 














rn 
Lg 




















程序 也 可 以 任意 转移 到 其 他 平台 


PaaS 服务 。Cloud Foundry 采用 
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对 
发 平台 已 逐渐 
F 台 优 





H 














J 户 提 供 








甚至 文 持 多 种 设备 的 应 用 程序 ， 
开放 源码 的 PaaS 服务 Cloud Foundry; 


系统 实时 
E28 m AE ASIE GR Ji] 
条 低 了 用 户 进行 应 




















F 台 的 重要 性 也 逐渐 受到 如 IaaS 服务 厂商 与 虚拟 
以 虚拟 化 技术 为 主 的 Citrix 与 VYMware， 都 纷纷 推出 Paas 服务 ， 希 
以 IaaS 业务 为 主 的 Amazon， 也 与 程序 开 


支持 平台 的 多 赛 与 开 
走向 可 支持 


ELFE 


以 协助 














开源 的 网 站 了 
上 而 不 受 限于 Paas 平台 。Cloud 








FE 台 技 


包括 Spring for Java、Ruby on Rails、Node.js 以 及 多 种 








图 1-10 所 示 。NIST 对 SaaS 的 阐述 是 : 
有 务 提供 商 所 提供 的 应 用 程序 。 
央 界 面 进 行 访问 。 用 户 3 








用 户 可 

















不 管理 














会 在 未 来 的 几 年 条 


或 控制 底 
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, 是 一 











， 而 有 利于 
Sus 供应 商 为 企业 搭建 信 ， 


FAT EDET 








nu 


程序 的 配置 则 可 能 


必须 自己 在 本 地 服务 器 
的 一 种 模式 ， 改 而 通过 远程 数据 中 心安 
给 终端 的 使 用 者 使 用 
点 用 ， 再 以 浏览 器 访问 

















日 网 络 的 存 取 和 管理 ， 





也 因 























货 商 进行 更 新 或 维 

















责 所 有 
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期 的 实施 、 后 期 的 维 








16 





护 等 





县 化 所 需 要 的 所 有 网 络 基 





护 。 




















一 系列 服务 


ES 








[Ay 


种 利 


服务 












































p 云 供应 商 控制 


图 1-10 SaaS 模型 


而 设施 及 软件 、 硬 件 运作 








， 企 业 无 须 购买 软件 和 人 硬件、 建设 





MySQL、Redis 和 MongoDB 等 数据 


] PaaS 云 。Paag 将 是 云 计 算 的 


给 用 户 的 能 力 是 运行 在 云 基础 
过 各 种 客户 端 设 备 ， 比 如 Web 浏 





























IT Af, Bpnpabr n BEP EH RES. BUERTIJEBOKZKJESESLBEHIZK— RE, AEMVRR dS SEE 
需要 ， 从 Saas 供应 商 租赁 软件 服务 。 

传统 的 购买 软件 的 方法 所 涉及 的 用 户 加 载 软件 到 自己 的 硬件 上 ， 以 换取 许可 费 。 用 户 也 
可 以 购买 一 个 维护 协议 ， 以 获得 补丁 软件 或 其 他 支持 服务 。 用 户 关 注 的 是 业务 系统 的 兼容 性 、 
安装 补丁 以 及 遵守 许可 证 协议 。 

SaaS 供应 商 以 租赁 的 概念 提供 客户 软件 服务 ， 而 非 购买 ， 比 较 涝 见 的 模式 是 提供 一 
组 账号 密码 ， 规 定 一 个 使 用 期 限 。 由 于 SaaS 模式 是 一 个 多 租户 架构 模式 ， 这 意味 着 物理 
后 端的 硬件 基础 设施 在 许多 客户 之 间 共 享 ， 但 在 逻辑 上 是 独一无二 的 单独 客户 。 多 租户 
架构 的 设计 最 大 限度 地 提高 了 资源 的 跨 租 户 共享 ， 但 仍 能 够 安全 地 区 分 属于 每 个 租户 的 
数据 。 总 之 ，SaaS 服务 模式 与 传统 许可 模式 软件 存在 很 大 的 不 同 ， 是 未 来 应 用 软件 的 发 
展 趋 势 。 

Salesforce 的 客户 关系 管理 Saleforce CRM、 微 软 的 Office Live 以 及 谷歌 的 Docs 都 是 SaaS 
的 典型 例子 。 其 中 Salesforce 于 1999 年 由 当时 27 岁 的 Oracle 高 级 副 总 裁 ， 俄 罗斯 裔 美国 人 
Marc Benioff 创办 。 软 件 即 服务 的 理念 由 他 首先 提出 ， 并 运用 于 客户 关系 管理 服务 软件 。 目 前 
BAA 72500 家 公司 采用 了 Salesforce 的 Saleforce CRM. 

实现 SaaS 服务 ， 服 务 供应 商 需 提供 如 下 功能 ; 

1) 随时 随地 访问 。 在 任何 时 候 和 任何 地 点 ， 只 要 接 上 网 络 ， 用 户 就 能 访问 SaaS 服务 。 

2) 文 持 公开 协议 。 通 过 支持 公开 协议 如 HTML， 能 够 方便 用 户 使 用 。 

3) 安全 保障 。SaaS 供应 商 需要 提供 一 定 的 安全 机 制 ， 不 仅 要 使 存储 在 云端 的 用 户 数据 处 
于 安全 的 境地 ， 而 且 也 要 在 客户 端 实施 一 定 的 安全 机 制 来 保护 用 户 。 
4) 多 租户 机 制 。 多 租户 机 制 不 仅 能 更 经 济 地 支撑 庞大 的 用 户 规模 ， 而 且 能 提供 一 定 的 可 
定制 性 以 满足 用 户 的 特殊 需求 。 
这 种 服务 模式 的 优势 是 ， 由 服务 供应 商 维 护 和 管理 软件 、 提 供 软件 运行 的 硬件 设 
施 ， 用 户 付费 使 用 软件 ， 享 有 软件 使 用 权 。 用 户 只 需 拥 有 能 够 接 入 互联 网 的 终端 ， 即 可 
随时 随地 地 使 用 软件 。 在 这 种 模式 下 ， 用 户 不 再 像 传统 模式 那样 在 硬件、 软件 和 维护 人 
员 等 方面 花费 大 量 资 金 ， 只 需要 支出 一 定 的 租赁 服务 费用 ， 通 过 互联 网 就 可 以 享受 到 相 
应 的 服务 。 

但 是 ，SaaS 服务 模式 也 有 一 些 缺 点 ， 比 如 : 

1) 安全 性 不 高 。 企 业 ， 尤 其 是 大 型 企业 ， 并 不 热衷 于 使 用 Saas 的 原因 就 是 其 安全 问 
题 。 他 们 要 保护 机 密 数 据 ， 不 希望 这 些 机 密 数 据 由 第 三 方 来 保管 。 

2) 缺乏 标准 化 。 目 前 的 Saas 解决 方案 缺乏 标准 化 。 这 个 行业 刚刚 起 步 ， 没 有 明确 的 解 
决 办 法 ， 不 同 服务 提供 商 通 常 拥有 不 同 的 解决 方案 。 

2. 示例 

为 了 更 好 地 体验 SaaS， 我 们 可 以 在 线 体 验 微软 Office 的 在 线 应 用 OneDrive。 用 户 只 需要 
一 个 浏览 器 ， 就 可 以 随时 随地 在 任何 设备 上 存储 和 共享 上 照片、 视频 、 文 档 及 更 多 内 容 。 例 如 ， 
可 以 在 线 编辑 Office Word 文档 ， 并 存储 在 OneDrive 上 ， 这 样 就 可 以 随时 通过 一 个 浏览 器 查看 
或 继续 编辑 这 个 文档 。 
其 中 ，OneDrive 首页 、 在 线 创 建 Word 文档 界面 、 在 线 编辑 Word 文档 界面 和 在 线 保存 
Word 文档 分 别 如 图 1-11 一 图 1-14 所 示 。 
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图 1-13 ”在 线 编辑 Word 文档 











综 上 所 述 ，IaaS 为 云 用 户 提供 基础 设施 服务 ，PaagS 基于 
供 定 义 好 API 的 编程 模型 和 应 用 程序 运行 环境 ，SaaS 基于 底 
日 户 提供 云 应 用 软件 。 














环境 来 开发 ， 为 有 
14 zit 


依据 服务 方式 ， 云 计算 可 以 采 
一 个 组 织 可 以 根据 组 织 的 需要 实现 一 个 或 多 个 模型 或 组 合 部 署 模 型 。 
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141 公有 云 
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图 1-14 在线 保存 Word 文档 
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云 、 私 有 云 、 社 区 云 或 混合 云 的 部 署 类 型 交付 给 用 








公有 





Internet 使 用 。“ 
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EN 3 r 是 指 第 





三 方 云 服务 供应 商 为 月 








底层 的 基础 设施 资源 ， 为 用 户 提 
设施 、 编 程 模型 和 运行 























昌 户 提供 的 能 够 使 用 的 云 ， 公 有 云 一 般 可 通过 




















词 并 不 代表 



































公有 云 的 基础 设施 通常 














般 是 拥有 大 量 计 算 资 源 的 IT EA, W Google. Amazon 等 大 型 企业 。 这 些 IT 公司 将 云 计 算 
服务 以 “ 按 需 购买 ”的 方式 销售 给 一 般 用 户 或 中 小 企业 群体 。 用 户 只 需 将 请 求 提交 给 云 计 算 
投入 成 本 建立 数据 中 心 ， 不 需 
F 发 核心 的 应 用 服务 。Amazon 的 EC2. Google 的 GAE 等 都 











系统 ， 付 费 租 月 























属于 公有 云 。 





公有 云 是 云 计算 的 设计 初衷 


由 一 个 提供 云 服务 的 大 型 运营 组 





晶 所 需 的 资源 和 月 
进行 系统 的 维护 ， 就 可 以 专心 天 





“免费 ” 公有 云 也 不 表示 月 
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求 变化 时 灵活 地 增 减 云 资源 的 租用 。 然 而 ， 
和 计算 的 探 








者 实施 使 


















































讲 ， 还 是 


公有 云 被 认为 是 云 计算 的 主要 形态 ， 在 





具有 极 大 的 吸引 力 。 











有 务 。 对 用 户 来 说 ， 不 需要 表 





有 高 效 灵活 和 成 本 优势 。 月 


] 户 数据 可 供 任何 人 查看 。 








来 建立 和 运 维 。 该 运营 组 织 一 














昌 户 或 企业 能 够 将 计算 和 数据 
存储 外 包 给 云 供应 商 ， 而 不 需 自己 购买 设备 或 投入 专业 人 力 来 做 云 系 统 的 维护 ， 还 能 在 计算 需 


THE 
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1 于 公有 云 的 开放 性 较 高 ， 而 用 








户 又 失去 了 对 数据 




















国内 的 发 


。 通 常 ， 公 


用 访问 控制 机 制 ， 如 SSL 加 密 。 然 而 IaaS 公有 云 对 于 一 些 不 太 关 心 隐私 的 企业 来 














由 权 ， 因 此 ， 对 于 一 些 敏感 和 私密 的 企业 数据 ， 企 业 在 租用 公有 云 服 务 时 还 存在 顾 
虑 。 事 实 上 ， 数 据 安全 问题 是 公有 云 普及 中 最 重要 的 顾虑 之 


























有 云 供应 者 会 对 使 用 








展 如 火 如 茶 。 根 据 市 场 参 与 者 的 类 型 分 
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E, nU A 38). 


1) 传统 电 





ESO 








设施 运营 商 ， 包 括 中 





国 移动 、 中 国 





联通 和 中 国 





电信 。 


2) 政府 主导 下 的 云 计算 平台 ， 如 各 地 的 各 种 “XxX X 云 ”项 目 。 


3) 为 互联 网 
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1.4.2 


H BI Zai 


巨头 打造 的 公有 云 平 
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国外 技术 背景 或 引进 国 


私有 云 
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算 资 源 整合 
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面向 的 


的 最 有 效 控制 。 
私有 云 具备 许多 公有 云 环境 的 特点 ， 如 弹 
服务 中 使 用 自 3 


的 网 络 带宽 ， 安 全 问题 较 少 ; 


























可 以 有 


效 地 改善 


其 安全 与 弹性 。 






































， 如 盛大 云 。 
上 世纪 互联 。 
外 云 计算 技术 的 国 


服务 。 A 


性 和 提升 
同时 ， 私 











局 限于 对 组 织 内 部 IT 资源 的 虚拟 化 和 自动 化 管理 。|1 
里 ， 这 种 云 计 算 模 型 称 为 私有 云 。 


名 用 户 ， 不 提供 对 外 


显然， 











资源 利 月 








有 云 服务 











而 私有 云 能 


的 使 用 者 掌握 云端 基础 


内 企业 ， 如 风 起 亚洲 云 。 











于 所 
昌 织 内 部 的 计 
性 和 服务 质 

















Age SY 
提供 对 数据 安全 























率 ， 两 者 的 差别 在 于 私有 云 


RJ, 

















私有 云 可 划分 为 两 大 类 型 54: 一 类 是 外 包 私 有 云 ， 也 称 为 场 外 服务 ， 云 位 于 第 三 方 的 服 








务 器 端 ， 
特定 上 
允许 访问 。 























KY 
力 来 维护 数据 
司 才能 负担 其 成 本 ， 并 在 一 定 的 规模 效应 下 享有 云 计算 的 优势 。 私 有 
本 地 资源 。 尽 管 它 缺 乏 灵活 性 | 





只 能 


的 组 织 进 行 维护 和 运行 。 在 安全 处 所 即 客户 站 





























FP 心 的 正常 运转 ， 并 | 


EF， 私有 云 要 求 每 个 组 织 自己 购买 硬 人 人 
卓 云 的 规模 相对 来 说 比较 有 限 。 私 有 云 往往 


















































组 织 来 说 ， 私 有 云 不 可 或 缺 。 
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六 私有 


旦 价格 昂贵 ， 但 是 对 了 








云 的 开放 性 不 高 ， 其 管理 
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1.4.3 社区 云 
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设施 由 多 个 组 
区 是 指 有 共同 诉求 和 追求 的 团 
年 区 云 的 规模 要 大 于 私有 云 ， 多 个 私有 云 可 通过 VPN 连接 到 一 起 从 而 组 成 社区 云 ， 以 满 
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多 个 私有 云 组 织 之 
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间 整 合 和 








的 需求 。 




















某 些 IT 单位 如 需要 处 天 








F: 区 云 是 指 儿 个 有 同样 应 用 需求 的 组 织 共同 组 建 的 云 。 在 这 种 模式 下 ， 社 
而 设施 由 若干 个 组 


织 分 享 ， 





| 授权 的 客户 端 进行 访问 ， 另 一 类 是 现场 私有 云 ， 也 称 为 内 部 云 或 场 内 服务 ， 云 
可 以 访问 云 服务 ， 而 未 经 授权 的 客户 端 不 


F 设 备 ， 建 立 大 型 数据 中 心 ， 投 入 人 力 和 物 





r1 


只 有 大 型 IT X 
云 还 意味 着 用 户 连 接 的 是 


各 种 规章 制度 的 












































此 私有 云 通常 有 较 高 的 安全 




















区 云 的 云 基础 
以 支持 某 个 特定 的 社区 。 社 


与 私有 云 类 似 ， 社 区 云 也 可 以 分 为 场 内 服务 和 场 外 服务 两 大 类 别 。 


144 混合 云 





顾名思义 ， 混 合 云 是 指 云 基础 设施 是 
和 云 仍然 保持 独立 ， 但 通过 标准 的 或 专用 的 技术 将 它们 绑 定 在 一 起 ， 共 有 数 
昌 户 提供 云 计算 服务 。 
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fk. AER 
据 和 应 用 程序 的 可 移植 性 。 比 如 AWS 既 为 企业 内 部 又 为 外 音 














目前 ， 既 可 以 使 朋 
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丙种 以 上 的 云 组 成 ， 通 常 是 指 私 有 云 和 公 


EH 





























私有 云 服务 














于 某 种 目标 ， 又 可 以 使 用 公有 云 



































于 其 他 目的 混合 云 已 




















成 为 企业 关注 的 焦点 。 混 合 云 不 仅 是 一 个 可 定制 的 解决 方案 ， 而 且 其 架构 结合 了 私有 云 〈 可 
信 、 可 控 、 可 靠 )》 和 公有 云 〈 简 单 、 成 本 低 、 灵 活 ) 的 优势 。 因 此 ， 未 来 真正 被 跨国 的 云 服务 
供应 商 视 为 爆发 点 的 应 该 是 混合 云 市 场 。 
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敏感 数据 和 







































































云 应 该 分 别 使 用 什么 服务 。 


一 般 来 

















14.5 云 计算 部 署 形态 
综 上 所 述 ， 云 计算 的 云端 架构 和 三 种 部 署 类 别 之 间 的 关系 如 图 1-15 


1.5 云 计算 架构 





用 户 企业 或 内 部 组 织 用 户 


pit BBB 


软件 即 服务 (SaaS) 
平台 即 服 务 (PaaS) 


匡 架 即 服务 (laaS) 


























图 1-15 云端 架构 和 三 种 部 署 类 别 之 间 的 关系 











云 计算 架构 描述 了 一 个 云 平台 的 总 体 结构 ， 也 被 称 为 云 栈 。 


1.51 云 计算 参考 架构 





云 计算 发 展 人 至 今 ， 尚 没有 一 个 统一 的 标准 。 目 前 ， 已 有 多 家 厂商 和 组 织 发 布 了 其 云 计算 






























































私有 云 和 公有 云 组 合 的 混合 云 来 讲 ， 考 虑 到 安全 和 控制 因素 ， 用 户 通 常 选择 将 
此 务 运 行 在 私有 云 中 ， 将 非 敏感 数据 和 业务 运行 在 一 个 或 多 个 公有 云 中 。 在 这 种 使 
用 模式 下 ， 服 务 在 不 同 云 之 间 的 安全 无 颖 连接 较 难 实现 。 

混合 云 的 优点 是 比 公有 云 和 私有 云 更 灵活 ， 缺 点 是 需要 确定 组 成 混合 云 的 公有 云 或 私有 





























， 如 银行 、 金 融 机 构 、 政 府 部 门 和 大 型 企业 等 多 采用 混合 云 。 


所 示 。 























相关 的 标准 及 参考 架构 。 在 众多 标准 和 参考 架构 的 交付 物 中 ，NIST 云 计 算 参 考 架 构 中 对 云 计 





NIST 云 计算 参考 架构 是 一 个 通 
的 参与 者 、 动 作 和 功能 的 集合 。 它 包含 一 组 可 以 用 于 对 云 计算 特性 、 使 有 
是 帮助 理解 云 计算 的 需求 、 用 途 、 特 性 和 标准 。 








描述 。 其 意 














pa 











算 的 概念 、 属 性 及 架构 的 定义 得 到 了 业界 的 广泛 认同 。 

































































的 高 层 架 构 。 它 定义 了 一 个 可 用 于 云 计算 架 构 开 发 过 程 





和 标准 讨论 的 观点 及 


图 1-16 是 NIST 云 计算 参考 模型 的 概览 ， 定义 了 云 计算 中 主要 的 参与 者 ， 以 及 它们 的 行为 


和 功能 5 。 
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云 消费 者 


资源 抽象 与 控制 层 | 
物理 资源 层 “ 








图 1-16 NIST 云 计 算 参考 架构 


1.5.2 云 计算 实体 

由 图 1-16 可 知 ，NIST 的 云 计算 参考 架构 定义 了 云 计算 中 的 5 个 主要 参与 者 : 云 消费 者 、 
云 提 供 者 、 云 审计 者 、 云 代理 和 云 载 体 。 每 个 参与 者 (个 人 或 组 织 ) 都 是 参与 云 计算 中 事务 或 
流程 以 及 执行 任务 的 一 个 实体 。 具 体 解 释 如 下 : 

(OD 云 提 供 者 ” 云 提 供 者 是 负责 向 云 消费 者 提供 可 用 服务 的 个 人 、 组 织 或 实体 。 在 SaaS 
层面 ， 云 提供 者 负责 安装 、 管 理 和 维护 云 基础 设施 中 的 软件 应 用 程序 ， 在 Paas 层面 ， 云 提供 
者 为 平台 的 消费 者 配置 和 管理 云 基础 设施 和 中 间 件 ， 向 其 提供 开发 、 部 署 和 管理 工具 ; 在 
IaaS 层面 ， 云 提供 者 为 laas 消费 者 配置 和 管理 计算 资源 、 存 储 资源 、 网 络 资源 及 宿主 环境 等 
云 基础 设施 。 

(2) 云 消费 者 “” 云 消费 者 与 云 提 供 者 维持 业务 关系 ， 是 使 用 云 提供 者 服务 的 个 人 或 组 
织 。 在 SaaS 层面 ， 消 费 者 使 用 应 用 程序 或 操作 业务 流程 ;在 Paas 层面 ， 消 费 者 使 用 服务 或 平 
台 开 发 、 部 署 、 测 试 和 管理 托管 于 云 平台 中 的 应 用 程序 ; 在 las 层面 ， 消 费 者 创建 、 安 装 、 
管理 并 监控 作为 IT 基础 设施 操作 的 服务 。 

G) 云 代 理 ” 云 代理 是 一 个 能 够 协调 云 提供 者 和 云 消费 者 两 者 关系 的 实体 。 云 代理 的 目 
标 是 提供 给 云 消费 者 一 个 更 加 贴 合 需求 的 服务 。 这 可 以 通过 简化 及 提升 服务 和 契约 ， 集 合 多 重 
云 服务 或 提供 有 附加 价值 的 服务 器 来 实现 。 云 代理 公司 可 以 被 考虑 作为 一 个 特殊 的 云 供应 商 。 

(4D 云 审计 者 ” 云 审计 者 是 能 够 对 云 服务 栈 的 性 能 和 安全 性 等 进行 中 立 评估 的 机 构 或 实 
体 ， 并 且 保 证 相应 的 服务 水 平 协议 是 完整 的 。 细 节 和 审查 过 程 范 围 一 般 都 在 服务 契约 上 有 详细 
说 明 。 

(5) 云 载体 ” 云 载体 是 云 服务 提供 商 向 云 消费 者 提供 云 服 务 时 所 使 用 的 连接 和 传输 


































































































































































































15.3 zi SEE 


传统 的 YT 部 署 架 构 是 “ 烟 向 式 ” 的 ， 即 垂直 的 体系 结构 。 在 这 种 架构 中 ， 每 一 个 IT 系统 
都 有 自己 的 存储 和 TT 设备 ， 以 及 独立 的 管理 工具 和 数据 库 ， 不 同 的 系统 之 间 不 能 共享 资源 ， 
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[P 


不 能 交 
的 资源 需求 ,DW 
见 的 。 

云 计算 的 基础 架构 是 在 传统 基础 
















































































付 和 访问 ， 形 成 了 资源 孤岛 和 信息 孤岛 。 当 新 的 应 用 系统 上 线 时 ， 需 要 分 析 该 应 用 系统 
外 定 基础 架构 所 需 的 计算 、 存 储 及 网 络 等 设备 规格 和 数 





量 。 其 不 足 之 处 是 显 而 易 


H 











架构 的 计算 、 存 储 和 网 络 等 便 件 层 的 基础 上 ， 增 加 了 虚 


































































































































































































拟 化 层 和 云 管理 层 ， 如 图 1-17 所 示 。 
云 提供 商 
E bul eel ws nen 
uid 好 " Cm [HP 
E [eise — ]— nien 
CR (c 
云 消费 者 ---- eS - ti 
A —— ; ! 
互联 网 
el na | 
图 1-17 云 计算 基础 架构 
虚拟 化 层 (VMs): 大 多 数 云 基础 架构 都 采用 虚拟 化 技术 ， 包 括 计算 虚拟 化 、 存 储 虚 拟 化 
和 网 络 虚拟 化 等 。 通 过 虚拟 化 层 ， 屏 蔽 了 低层 硬件 的 差异 和 复杂 度 ， 向 上 呈现 为 标准 化 、 可 灵 
活 扩 展 和 收缩 、 弹 性 的 虚拟 化 资源 池 。 
云 管理 层 (Cloud Manager): 对 数据 中 心 和 底层 基础 设施 进行 整合 管理 。 具 体 来 讲 ， 它 存 
在 如 下 三 个 层面 : 
D 设备 层面 。 需 要 实现 对 大 容量 设备 的 管理 ， 同 时 要 考虑 物理 上 分 布 式 部 署 、 届 辑 上 统 
一 的 管理 需求 。 
2) 业务 层面 。 需 要 在 同一 个 平台 中 实现 IP 和 IT 设备 的 融合 ， 可 以 从 业务 的 角度 对 网 络 
进行 管理 ， 也 可 以 从 性 能 和 流量 的 角度 对 业务 进行 监控 和 优化 。 
3) 服务 层面 。 需 要 提供 运 维 服务 方面 的 支持 ， 帮 助 YT 部 门 向 规范 化 以 及 可 审计 的 服务 
运营 中 心 转变 。 
总 之 ， 云 管理 层 实 现 了 对 资源 池 的 调度 和 组 合 ， 根 据 应 用 系统 的 需要 自动 生成 和 扩展 所 














需 的 硬件 资源， 将 更 多 的 应 用 系统 通过 流程 化 、 自 动 化 部 署 和 管理 








相对 于 传统 基础 架构 ， 云 基础 架 

















E, HEF IT 效率 。 
构 通 过 虚拟 化 整合 与 自动 化 ， 应 用 系统 共享 基础 架构 资 































































































源 池 ， 实 现 高 利用 率 、 高 可 用 性 、 低 成 本 及 低能 耗 ， 并 且 通 过 云 平台 层 的 自动 化 管理 ， 实 现 快 
速 部 署 、 易 于 扩展 和 智能 管理 ， 帮 助 用 户 构建 IaaS 云 业务 模式 。 








16 云 计算 应 用 实例 


这 里 以 游戏 产业 为 例 来 说 明 云端 
使 用 云端 服务 的 典型 代表 。 























Zx 


交 平 台 





游戏 用 户 在 个 人 计算 机 上 执行 
否则 游戏 进度 就 会 消失 。 然 而 当 玩 在 线 游戏 时 ， 无 论 是 提升 游戏 
Facebook 的 网 络 游 戏 FarmVille (农场 乡村 ) "fH. | 




















服务 的 各 种 模式 。 游 戏 产 业 中 产值 最 高 的 在 线 游戏 ， 是 
FE 机 版 游戏 ， 结 束 游戏 时 必须 存盘 ， 
虚拟 人 物 的 等 级 ， 还 是 在 社 
上 百 个 好 友 种 植 的 农作物 ， 都 不 需 
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执行 “保存 ”操作 ， 原 因 在 于 所 有 数据 都 存储 在 游戏 营运 商 自 有 或 租用 的 服务 器 里 。 因 此 ， 对 
游戏 使 用 者 而 言 ， 游 戏 供应 商 所 提供 的 在 线 游戏 服务 为 SaaS 模式 。 
下 面 看 看 制作 FarmVille CFarmVille 是 Zynga 公司 于 2009 年 6 月 在 Facebook 上 推出 的 

款 农场 模拟 游戏 ) 的 美国 知名 网 络 游戏 公司 Zynga。 如 图 1-18 所 示 ， 早 期 该 公司 拥有 自家 的 
数据 中 心 ， 然 而 随 着 FarmVille 的 爆 红 ， 用 户 数量 急速 提升 ， 原 有 的 数据 中 心 无 法 应 付 如 此 庞 
大 的 网 络 流量 ， 促 使 他 们 采用 laas 模式 ， 向 Amazon 租用 EC2 服务 ， 建 立 了 初步 的 混合 云 部 
署 模型 。 这 种 云 爆发 〈 一 种 程序 部 署 模式 ， 应 用 程序 一 般 运 行 在 私有 云 或 数据 中 心 ， 当 遇 到 计 
算 流量 尖峰 时 ， 将 无 法 负荷 的 流量 移 转 到 公有 云 上 。 利 用 这 种 混合 云 部 署 ， 使 用 者 只 在 需要 时 
支付 额外 的 计算 资源 ) 的 混合 云 模式 ， 是 时 下 常见 的 流量 处 理 方案 。 目 前 Zynga 的 做 法 ， 是 
把 新 推出 的 游戏 先 放 在 Amazon EC2 的 租用 服务 器 上 ， 如 此 只 需 依照 使 用 量 付 费 ， 并 且 应 对 流 
量 尖 峰 。 然 而 ， 一 旦 游戏 正式 上 线 后 ，Zynga 就 会 将 游戏 移 回 自家 数据 中 心 的 Z Cloud (采用 
类 似 Amazon 的 私有 云 架构 服务 器 )， 不 过 系统 还 会 保留 一 部 份 在 公有 云 上 。Zynga 还 向 美国 
的 数据 中 心 供应 商 租 用 了 空间 ， 并 在 该 数据 中 心安 装 Z Cloud 的 服务 器 及 软件 。 使 用 多 元 可 弹 
性 的 云端 服务 ， 可 确保 该 公司 得 以 应 付 多 变 的 游戏 市 场 。 










































































































































































































































































租用 的 数据 
心服 务 器 








Facebook 平台 














图 1-18 Zynga 的 云 服 务 所 采用 模式 








1.7 云 计 算 相关 技术 
云 计算 是 一 种 以 数据 为 中 心 的 数据 密集 型 计算 模式 。 它 是 多 种 分 布 式 计算 技术 及 其 商业 
模式 演进 的 产物 。 


1.7.1 虚拟 化 

虚拟 化 技术 由 于 其 在 提高 基础 设施 可 靠 性 和 提升 资源 利用 效率 等 方面 的 巨大 优势 ， 其 应 
用 领域 越 来 越 广泛 。 特 别 是 新 兴起 的 云 计算 ， 更 需要 虚拟 化 技术 的 支撑 。 

虚拟 化 技术 的 起 源 最 早 可 以 追溯 到 1959 Æ, Strachey 发 表 了 一 篇 名 为 “Time Sharing in 
Large Fast Computers” 的 学 术 论 文 由 。 这 篇 文章 被 认为 是 虚拟 化 技术 的 最 时 论述。 在 此 后 的 十 
几 年 ， 虚 拟 化 技术 走 进 了 初始 发 展 阶段 。20 世纪 60 FR, IBM 为 其 大 型 机 发 明了 一 种 虚拟 机 
监控 器 技术 。20 世纪 70 FA, IBM, HP 和 SUN 等 公司 将 虚拟 化 技术 引入 各 自 的 高 端 精简 
指令 集 服务 器 和 小 型 计算 机 中 。 由 于 不 同 广 商 的 产品 和 技术 不 能 很 好 地 兼容 ， 虚 拟 化 技术 的 发 
展 进程 有 所 变 慢 。1999 年 ，VMware 公司 提出 了 一 套 以 虚拟 机 监控 器 为 中 心 的 软件 解决 方 
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5. 


化 商用 软件 。 虚 拟 机 技术 从 此 进入 个 人 
半 虚 拟 化 技术 实现 的 
拟 化 技术 的 有 
人 硬件 进行 修改 ， 分 别 推出 支持 硬件 虚拟 化 技术 的 产品 
的 效能 ，x86 架构 由 此 成 了 虚拟 化 技术 发 挥 作 用 的 重要 ?3 


中 的 核心 关键 技术 。 它 为 所 有 租户 提供 了 一 个 





这 套 方案 在 全 虚拟 化 模式 中 使 PC 服 








计算 机 领 ] 








务 器 平台 实现 虚拟 化 。 这 是 x86 架构 上 的 第 一 款 虚 拟 











bi 





重新 得 到 快速 发 展 。2003 年 ， 采 用 最 新 






































源 Xen 推出 ， 
究 和 应 用 更 加 普及 。2005 4 















































并 在 数据 中 心 














户 群体 中 流行 开 来 。Xen 的 
FE 和 2006 Æ, PIK CPU 生产 商 Intel 和 AMD 
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E 
交集 


H 
Ann 








。 这 项 技术 改变 了 x86 架构 对 虚拟 化 支持 





台 之 一 。 











随 着 云 计 算 的 兴起 ， 虚 拟 化 技术 走 进 了 一 个 全 面 易 盛 的 时 期 。 虚 拟 机 技术 是 云 计 算 系 统 



































更 重要 的 是 ， 
整合 和 高 效 和 了 
的 虚拟 资源 池 ， 从 而 形成 云 计 算 基 而 
从 企业 的 和 有 








为 云 计算 的 其 他 























9 度 来 看 ， 虚 拟 化 提 

















EG, d 
共 了 数据 中 心 整 合 ， 并 目 








HJ 
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Xf tet T UJ WISCRE. 
上 用 的 关键 技术 。 通 过 虚拟 化 手段 将 系统 ， 

















展 的 、 


的 各 种 异 构 的 硬 





共享 的 资源 平台 的 云 计 算 商业 模式 。 
它 是 可 以 将 各 种 计算 及 存储 资源 充分 
全 资源 转换 为 灵活 统一 






































上 层 云 计算 平台 和 云 计算 服务 提 人 


t 相 应 的 支撑 。 














[可 提 


高 IT 运营 效率 。 如 今 ， 企 业已 经 





以 各 种 形式 部 署 ， 包 括 操作 系统 虚拟 化 的 数据 中 心 内 的 虚拟 化 技术 、 存 储 虚 拟 化 、 数 据 库 虚拟 
化 和 应 用 程序 或 软件 虚拟 化 等 。 





但 是 ， 虚 拟 化 技术 引入 了 比 物理 主机 更 多 的 安全 风险 ， 
闻 可 以 不 经 过 防火 墙 与 交换 机 设备 相互 访问 。 
提供 安全 | 
行 探讨 bl。 
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E 和 隔离 保证 。 目前 ， 已 经 有 
参考 文献 [20]: 









































因为 同一 物理 主机 上 的 虚拟 机 之 














因此 ， 使 




















虚拟 技术 的 云 计 算 平台 必须 向 其 客户 





很 多 研究 者 针对 虚拟 化 系统 和 虚拟 化 管理 的 安全 问题 进 




















是 出 了 基于 几 套 虚拟 化 技术 的 可 信 基 构建 方法 、 基 于 现 有 硬件 特性 














的 安全 监控 和 基于 高 权限 虚拟 机 的 数据 隔离 机 制 ， 为 可 信 云 服务 提供 了 新 的 途径 。 
虚拟 化 技术 现在 最 成 熟 的 系统 有 Xen, VMware 及 KVM。 


1.7 


模型 的 高 效 并 行程 序 的 编写 并 不 容易 。 
程 模型 





.2 分 布 式 编程 


sa 
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在 处 理 大 数据 集 时 也 存在 性 能 瓶 














处 理 大 数据 集 时 的 性 能 瓶颈 问题 ， 
算 纺 
































程 效 率 不 高 的 问题 。 






































关 的 研究 ， 对 MapReduce 进行 了 改进 。 例 如 ， 参 考 文献 [21] 中 
型 ， 对 Map 和 Reduce 过 程 进行 了 优化 ; 
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性 能 计算 机 的 发 展 促使 高 效能 程序 设计 环 ; 








席 的 产生 与 发 展 。 然 而 ， 基 于 传统 并 行 编程 
同时 ， 随 着 领域 中 数据 量 
颈 。 针 对 上 述 两 个 问题 ， 
并 行 编程 模型 MapReduce。 作 为 一 种 解决 方案 ，MapReduce 计算 模型 有 效 地 解决 了 传统 算法 
同时 以 易 使 用 和 易 理 解 的 方式 简单 高 效 地 解决 了 传统 并 行 计 























的 高 速 增长 ， 传 统 并 行 计算 编 
Google 公司 研发 了 一 种 新 的 



































伴随 着 MapReduce 应 用 范围 的 扩大 ，MapReduce 的 不 足 越 来 越 明显 。 很 多 学 者 进行 了 相 








提出 了 改进 的 MapReduce 模 

















参考 文献 [22] 


建立 了 适应 多 核 的 MapReduce 并 行 编 





Ff; HPMR。 针 对 MapReduce 计算 框架 不 适合 办 代 计算 和 交互 式 计算 ， 伯 克利 大 学 的 
究 者 开发 了 一 个 基于 内 存 的 计算 框架 Spark 中 。 它 将 数据 尽 可 能 放 到 内 存 中 以 提高 适 代 应 用 

















和 交互 式 应 用 的 计算 效率 。 针 对 MapReduce 不 适合 进行 流 式 计算 和 实时 分 析 等 ， 人 们 开发 了 
实时 性 要 远 好 于 MapReduce 的 计算 框架 Storm"! 








研究 者 还 针对 多 核 、 多 处 理 器 等 不 同 平台 实现 了 MapReduce 模型 。 











上 高 














效 地 执行 程序 ， 








斯 坦 福 大 学 的 Ranger 等 人 实现 了 一 个 基于 多 核 平台 的 MapReduce HSK 


比如 为 了 在 多 核 平 
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PhoenixP3]。 针 对 GPU， 香 港 科技 大 学 与 NVIDIA 公司 的 统一 计算 设备 架构 (Compute Unified 
Device Architecture, CUDA) 技术 在 GPU 上 实现 了 一 个 MapReduce 系统 Mars?" 
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1.7.3 ”数据 储存 


云 计 算 系 统 底 层 需 要 大 数据 的 存储 支持 ， 才 可 以 对 外 提供 云 存 储 服务 。 云 存储 克服 了 传 
统 储存 系统 在 容量 和 性 能 扩展 上 存在 的 瓶 贷 ， 以 其 扩展 性 强 、 性 价 比 高 及 容错 性 好 等 优势 得 到 
了 业界 的 广泛 认同 。 

为 保证 用 户 所 存储 数据 的 高 可 用 性 和 高 可 靠 性 ， 云 计算 的 分 布 式 文件 系统 多 采用 元 余 的 
存储 方式 ， 即 为 同一 份 数据 存储 多 个 副本 ， 如 Google 的 GFS 和 Apache 的 HDFS 都 是 采用 三 
个 副本 来 保证 数据 的 元 余 。 这 是 一 个 简单 有 效 的 方法 ， 但 不 是 最 优 的 方法 。 针 对 此 问题 ， 研 究 
者 一 直 在 探讨 能 否 使 用 类 似 的 策略 在 不 降低 存储 可 靠 性 的 前 提 下 降低 存储 副本 的 数目 。 比 如 二 
代 Google 分 布 式 文件 系统 Colossus”, HII GFS2 中 使 用 里 德 -所 罗 门 擦 除 码 来 实现 成 本 更 低 的 
可 靠 存 储 。Microsoft 的 Azure 平台 采用 擦 除 码 技术 来 降低 存储 成 本 中 I。Facebook 公司 在 开源 
Hadoop 的 基础 上 实现 了 一 套 林 于 擦 除 码 的 RAID 方案 。 实 验 表 明 ， 对 同样 的 数据 ， 此 方案 能 
够 节约 25%~30% 的 HDFS 集群 的 存储 空间 1。 

由 于 云 计 算 对 大 数据 的 读 操 作 频 率 远 大 于 数据 的 更 新 频率 ， 因 此 ， 云 计算 的 数据 管理 通 
常会 采用 分 布 式 列 存储 技术 。 列 存储 模型 最 大 的 特点 是 方便 存储 结构 化 和 半 结 构 化 数据 ， 方 便 
进行 数据 压缩 ， 对 针对 某 一 列 或 者 某 几 列 的 查询 应 用 有 着 非常 大 的 VO 优势 。 当 前 比较 典型 的 
基于 列 储存 模型 的 分 布 式 数据 存储 系统 是 Google 公司 的 BigTable 和 Apache 的 HBase。 


1.7.4 ”资源 调度 

关于 资源 调度 方面 的 研究 ， 大 部 分 都 是 基于 网 格 计算 系统 的 资源 调度 策略 演变 而 来 的 。 
资源 调度 中 的 目的 是 实现 作业 与 资源 的 优化 匹配 ， 把 不 同 的 作业 以 较 合 理 的 方式 分 配 到 相应 
的 节点 去 完成 。 由 于 分 布 环境 中 各 节点 的 运行 速度 、 主 机 的 负载 和 网 络 通信 的 时 间 等 是 动态 变 
化 的 ， 因 此 资源 调度 是 一 个 非常 复杂 的 非 确定 性 多 项 式 (Non-deterministic Polynomial, NP) 
问题 。 

1. 基于 经 济 学 的 调度 

云 计算 的 商业 运营 模式 ， 使 得 其 经 济 因素 成 为 作业 调度 系统 中 重点 考虑 的 调度 指标 。 参 
考 文献 [29] 中 首次 提出 面向 市 场 的 云 计算 体系 结构 和 面向 市 场 的 资源 分 配 及 调度 方法 ， 该 体系 
结构 通过 资源 分 配器 实现 资源 使 用 者 与 资源 提供 者 之 间 的 协商 ， 来 保证 资源 优化 分 配 。 参 考 文 
献 [30] 中 提出 一 种 基于 市 场 机 制 的 云 资 源 分 配 策略 ， 并 设计 一 个 基于 遗传 基因 的 价格 调节 算法 
来 处 理 市 场 的 供需 平衡 问题 。 徐 保 民 等 人 中 模拟 市 场 经 济 中 有 关 资 源 公平 分 配 的 原则 ， 提 出 
了 一 个 基于 伯 格 模型 的 资源 公平 调度 算法 。 

2. 以 服务 质量 为 中 心 的 调度 

服务 质量 QoS 是 衡量 用 户 使 用 云 计算 服务 的 满意 程度 的 标准 。 研 究 基 于 QoS 的 调度 通常 
以 最 小 完成 时 间或 最 优 跨度 等 为 目标 。 目 前 已 有 很 多 基于 QoS 的 研究 。 比 如 参考 文献 [32] 中 研 
究 了 基于 可 划分 负载 理论 ， 旨 在 减少 整体 作业 处 理 时间 的 调度 问题 。 针 对 Hadoop， 参 考 文献 
[33,3 和 中 根据 作业 的 运行 进度 和 剩余 时 间 动 态 调整 作业 获得 的 资源 量 ， 以 便 作 业 尽 可 能 地 在 截 
止 时 间 内 完成 。 

3. 以 资源 利用 率 为 目标 的 调度 

云 计算 区 别 于 单机 虚拟 化 技术 的 重要 特征 是 通过 整合 物理 资源 形成 资源 池 ， 并 通过 资源 
管理 层 实现 对 资源 池 中 虚拟 资源 的 调度 。 男 外 ， 云 计算 采用 的 商业 理念 及 成 熟 的 虚拟 化 技术 使 
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得 它 的 资源 管理 呈现 不 同 特性 。 比 如 参考 文献 [35] 中 针对 如 何 分 配 和 迁移 虚拟 机 到 物理 主机 的 
问题 进行 研究 ， 提 出 了 一 种 优化 总 动态 调度 时 间 的 资源 调度 方法 。 参 考 文献 [36] 中 从 约束 的 
QoS 资源 分 配 问题 出 发 引入 博弈 论 ， 给 出 了 一 个 公平 的 资源 调度 算法 。 参 考 文献 37] 中 对 分 布 
式 系统 ， 特 别 是 云 计算 系统 ， 提 出 了 一 个 利用 博弈 论 进行 资源 管理 的 具有 较 好 本 地 响应 时 间 的 
算法 。 

17.5 ”数据 中 心 

基于 云 的 服务 需要 大 量 的 计算 能 力 ， 并 托管 在 数据 中 心 和 服务 器 集群 。 这 些 分 布 式 数据 中 
心 和 服务 器 集群 跨越 多 个 地 点 并 可 以 通过 互联 网 络 提供 分 布 式 计算 和 服务 交付 能 力 挂钩 B9。 

1， 数 据 中 心 

数据 中 心 是 场地 出 租 概念 在 因特网 领域 的 延伸 。 它 是 人 类 在 YT 应 用 推广 模式 方面 的 一 大 
发 明 ， 标 志 着 IT 应 用 的 规范 化 和 组 织 化 。 目 前 ， 几 乎 所 有 大 中 型 机 构 都 建立 有 自己 的 数据 中 
心 ， 全 面 管理 本 机 构 的 IT 系统 。 数 据 中 心 的 发 展 主要 经 历 了 如 下 四 个 阶段 : 

(1) 数据 存储 中 心 阶段 ”在 这 一 阶段 ， 数 据 中 心 承担 了 数据 存储 和 管理 的 功能 。 此 阶 
段 ， 数 据 中 心 的 主要 特征 是 有 助 于 数据 的 集中 存放 和 管理 ， 以 及 单 向 存储 和 应 用 。 由 于 这 一 阶 
段 的 功能 较为 单一 ， 因 此 它 对 整体 可 用 性 的 需求 也 较 低 。 
(2) 数据 处 理 中 心 阶段 ”由 于 Internet 技术 的 不 断 普 及 和 应 用 ， 数 据 中 心 已 经 可 以 承担 核 
心计 算 的 功能 。 因 此 ， 这 一 阶段 数据 中 心 开始 关注 计算 效率 和 运营 效率 ， 并 且 需 要 安排 专业 工 
作 人 员 来 进行 维护 。 但 是 ， 这 一 阶段 数据 中 心 的 整体 可 用 性 仍然 较 低 。 

G) 数据 应 用 中 心 阶段 ”在 这 一 阶段 ， 需 求 的 变化 和 满足 成 为 其 主要 特征 。 随 着 互联 网 
应 用 的 广泛 普及 ， 数 据 中 心 承 担 了 核心 计算 和 核心 业务 运营 支撑 功能 。 因 此 ， 这 一 时 期 的 数据 
中 心 也 称 为 信息 中 心 ， 人 们 对 数据 中 心 的 可 用 性 有 了 较 高 的 要 求 。 

(4) 数据 运营 服务 中 心 阶段 ”在 这 一 阶段 ， 数 据 中 心 承担 着 组 织 的 核心 运营 支撑 、 信 息 
资源 服务 、 核 心计 算 ， 以 及 数据 存储 和 备份 等 功能 。 业 务 运 营 对 数据 中 心 的 要 求 不 仅仅 是 支 
持 ， 而 是 提供 持续 可 靠 的 服务 。 这 一 阶段 的 数据 中 心 须 具有 高 可 用 性 。 
进入 21 世纪 以 来 ， 每 天 都 产生 海量 的 计算 和 存储 需求 ， 对 于 数据 中 心 而 言 ， 传 统 的 数据 
中 心 架 构 和 服务 方式 已 经 逐渐 落后 于 时 代 需 求 ， 用 户 对 安全 、 高 效 及 节能 等 方面 的 要 求 也 越 来 
越 迫 切 。 在 此 背景 下 ， 结 合 云 计算 技术 的 去 数据 中 心 应 运 而 生 。 这 种 新 型 的 数据 中 心 已 经 不 只 
是 一 个 简单 的 服务 器 统一 托管 和 维护 的 场所 ， 已 经 衍 变 成 一 个 集 大 数 据 计算 和 存储 为 一 体 的 高 
性 能 计算 机 的 集结 地 。 各 IT 厂商 将 之 前 以 单 台 为 单位 的 服务 器 通过 各 种 方式 变 成 多 台 为 群体 
的 模式 ， 在 此 基础 上 开发 如 云 存 储 等 一 系列 的 功能 ， 以 提高 单位 数量 内 服务 器 的 使 用 效率 。 

随 着 云 计算 和 Web 2.0 等 新 业务 的 兴起 ， 传 统 的 数据 中 心 已 经 无 法 满足 。 业 界 正 掀起 新 一 
轮 的 数据 中 心 建设 高 潮 ， 新 一 代 的 去 数据 中 心 随 之 而 产生 。 

在 当前 的 去 计算 架构 中 ， 去 数据 中 心 是 云 计 算 硬 件 架 构 最 底层 的 独立 计算 单位 。 作 为 一 
个 大 型 的 数据 中 心 ， 需 要 处 理 大 量 数 据 ， 而 这 些 计算 机 要 承担 的 任务 ， 绝 大 部 分 是 简单 的 计 
算 。 与 此 同时 ， 为 了 控制 成 本 ， 数 据 中 心 的 计算 机 一 般 并 不 是 高 性 能 的 服务 器 ， 而 是 大 量 的 廉 
价 计算 机 ， 随 之 而 来 的 一 个 问题 就 是 ， 当 我 们 进行 大 量 计算 的 时 候 ， 如 何 保证 整个 数据 中 心 内 
部 的 数据 交换 效率 。 另 外 ， 面 向 云 数据 中 心 的 侧重 点 已 由 物理 架构 转向 了 提供 标准 化 服务 。 在 
物理 设施 和 管理 层 ， 对 内 使 用 良好 的 调度 和 平衡 方案 ， 大 量 使 用 虚拟 化 技术 ， 对 外 则 屏蔽 了 下 
层 物理 设备 ， 为 上 层 提供 标准 化 的 计算 和 存储 资源 ， 根 据 用 户 的 不 同 需求 ， 提 供 不 同 水 平和 集 
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度 的 服务 。 
近 几 年 来 ， 














适用 于 云 数 据 ， 











国外 研究 机 构 纷纷 将 关 沪 




















E 焦 点 集中 在 面向 云 数 据 中 心 的 架构 设计 ， 提 出 了 不 












































心 的 网 络 拓扑 结构 。 





目的 和 要 求 却 是 一 致 的 5 。 
2. 服务 器 集群 























群 对 于 用 户 和 应 用 程序 而 言 就 像 
集群 系统 中 的 单个 计算 机 通常 称 为 节点 。 节 
局 域 网 连接 到 一 起 的 。 集 群 计算 机 通常 
般 情 况 下 集群 系统 比 和 
集群 并 不 是 一 个 全 
| 算 机 连接 起 来 通过 合理 的 交互 以 
特别 是 软件 和 硬件 
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机 广 商 和 研究 机 构 















































虽然 各 种 结构 的 基 











本 构建 思 


\ 想 有 所 不 同 ， 但 





构建 网 络 的 





















































个 单一 的 计算 书 
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基本 思想 是 


术 的 限 秆 





l, 


OVES EKKE 









































A 
mn 








新 的 相 早 在 20 世 



































服务 器 是 云 计 算 系 统 中 的 基础 节点 。 为 了 实现 云 计算 的 低 成 本 目标 ， 云 计算 系统 中 多 采 
J x86 服务 器 ， 并 通过 虚拟 化 提高 对 服务 器 资源 的 利用 率 。 

集群 是 一 种 并 行 或 分 布 式 多 处 理 系统 ， 该 系统 是 通过 一 组 松散 集成 的 计算 机 软件 和 硬件 
连接 起 来 作为 一 个 整体 向 用 户 提供 一 组 网 络 资源 。 在 某 种 意义 上 ， 一 个 连接 在 一 起 的 计算 机 集 

















LR. 

点 可 以 是 连接 在 
来 改进 利 
个 计算 机 (如 工作 站 〉 的 性 价 比 要 高 得 多 。 
纪 60 年 代 ，IBM 公司 就 提出 了 集群 计算 系统 ， 
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直到 20 








并 不 为 大 家 所 熟知 。 
世纪 80 











发 展 ， 集 群 计算 系统 才 有 了 得 以 发 展 的 物质 基础 。 


处 





20 世纪 90 年 代 以 来 ， 昂 贵 的 并 行 超级 计算 机 向 工作 站 网 络 转 换 的 趋势 越 来 越 强 ， 高 性 
工作 站 和 网 络 逐 渐 的 商品 化 成 为 促使 这 种 转换 的 驱动 因 
理 的 理想 工具 ， 从 而 导致 了 低 价 商品 化 超级 计算 机 的 飞速 发 
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基于 Linux 和 Grendel (系统 软件 工具 包 ) 的 PC 集群 
和 高 端 大 型 机 相 比 ， 具 有 极其 优越 的 | 
计算 的 技术 逐渐 成 为 研究 热点 。 


由 于 低 价 PC 集群 
用 低 端 工作 站 和 PC 3tfT4 
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根据 集群 系统 
种 。 它 们 的 区 别 在 于 组 成 集群 系统 的 计算 机 之 间 的 体系 结构 是 否 相 同 。 然 而 ， 在 实践 中 ， 





的 成 本 较 高 , 这 种 思想 
台 了 对 集群 系统 的 研究 和 开发 。 由 于 当时 3 


年 代 ， 随 着 高 性 能 低 价位 的 微 处 理 器 、 











5 同 完成 某 种 并 行 计算 。 











于 当时 各 种 





一 起 的 ， 也 可 以 是 物理 上 分 
个 计算 机 的 计算 速度 和 可 靠 性 。 
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于 科学 计算 ， 
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的 不 同 特征 可 以 有 多 种 分 类 方法 








D 


各 集群 分 为 如 
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有 某 个 节点 失效 的 情况 下 ， 
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提供 服务 。 


高 可 





高 可 用 性 集群 通常 是 指 具有 两 个 或 多 个 节点 的 集群 
其 上 的 任务 会 自动 转移 到 其 他 正常 的 节点 上 








， 但 一 般 把 集群 











能 被 很 好 地 商业 化 。70 


络 和 分 布 式 软 硬件 了 


展 使 计算 机 网 络 成 为 3 
M e 
系统 Beowulf !'! 
生 能 价格 比 和 高 可 扩展 性 


年 代 计算 
所 以 这 些 系 
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的 设计 思想 是 要 最 大 限度 





性 集群 




















高 可 用 集群 


通常 有 




















服务 器 的 状态 ， 





当主 月 





地 减少 服务 中 断 的 时 间 。 








系统 ， 





目的 是 当 
能 继续 对 


两 种 工作 方式 : 中 容错 系统 ， 通 常 是 主 从 服务 器 方式 ， 从 服务 器 检测 


务工 作 正常 时 ， 从 服务 器 并 不 提供 服务 ， 但 是 一 旦 主 服务 器 失效 ， 从 





服务 器 就 开始 代替 主 服 务 器 向 客户 提供 服务 ， 凶 负载 均衡 系统 ， 集 群 中 所 有 的 节点 都 处 于 活动 


状态 ， 
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它们 分 摊 系 统 的 工作 负载 ， 


一 般 Web 服务 器 集 
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务 ， 如 数据 库 





可 用 性 集群 既 适 用 于 提供 前 
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计算 机 系统 的 可 用 性 是 








态 数据 的 服务 ， 如 

















系统 的 可 靠 性 和 可 维 





通过 
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群 和 数据 库 集群 
HTTP 服务 ， 又 适 


























于 提供 








护 性 来 度量 的 。 工 程 上 通常 














pos 


时 间 来 度 
28 





度量 系统 的 可 
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平均 维修 时 间 来 度量 系统 的 可 维护 性 。 


都 属于 这 种 类 型 。 


动态 数据 的 











j 平 均 无 故 
































(2) 高 性 能 计算 集群 ”高 性 能 计算 就 是 研究 如 何 把 一 个 需要 非常 巨大 的 计算 能 力 才能 解 
决 的 问题 分 成 许多 小 的 部 分 ， 分 配给 多 个 计算 机 进行 处 理 ， 并 把 这 些 计 算 结果 综合 起 来 得 到 最 
终 的 结果 。 

高 性 能 计算 机 是 由 多 个 可 同时 工作 的 处 理 器 构成 的 计算 机 系统 。 在 一 个 高 性 能 计算 系统 
中 ， 不 同 处 理 器 可 同时 运行 同一 程序 的 多 个 任务 或 进程 ， 或 者 同时 运行 多 个 独立 程序 ， 以 提高 
系统 的 计算 速度 、 吞 吐 量 或 有 效 地 利用 系统 的 资源 。 

高 性 能 计算 集群 是 指 以 提高 科学 计算 能 力 为 目的 的 计算 机 集群 ， 按 照 任 务 间 的 关联 程 
度 ， 可 以 分 为 两 种 : 一 种 是 高 厨 叶 计算， 把 计算 任务 分 成 若干 个 可 以 并 行 的 子 任 务 ， 而 且 各 子 
任务 之 间 彼 此 没有 什么 关联 ， 然 后 把 子 任务 分 配给 各 节点 ， 在 各 节点 上 分 别 计算 后 再 把 从 各 个 
计算 节点 返回 的 结果 进行 汇总 ， 生 成 最 终 计 算 结 果 。 因 为 这 种 类 型 应 用 的 一 个 共同 特征 是 在 海 
量 数据 上 搜索 某 些 模式 ， 所 以 把 这 类 计算 称 为 高 乔 吐 计算 。 另 一 种 是 并 行 计算 方式 ， 刚 好 和 高 
吞吐 计算 相反 ， 虽 然 也 可 以 将 计算 任务 分 成 若干 并 行 的 子 任务 ， 但 子 任务 之 间 联 系 紧 密 ， 节 点 
之 间 在 计算 过 程 中 需要 大 量 的 数据 交换 ， 可 以 进行 具有 强 耦 合 关 系 的 计算 。 

云 计 算 本 身 意 味 着 超大 的 数据 处 理 量 ， 只 有 高 性 能 计算 才能 有 效 发 挥 其 商业 模式 的 优 
势 ; 另外 ， 云 计算 是 高 性 能 计算 在 发 展 过 程 中 呈现 的 必然 特征 。 随 着 高 性 能 计算 应 用 市 场 的 不 
断 深入 ， 以 及 向 其 他 行业 、 领 域 的 不 断 扩展 ， 数 据 量 增长 已 达到 前 所 未 有 的 速度 ， 更 多 的 工作 
也 将 从 传统 的 基于 本 地 的 集群 计算 向 基于 网 络 的 集群 计算 发 展 ， 这 在 客观 上 有 赖 于 云 计 算 的 发 
展 成 果 。 

云 计 算 所 涉及 的 技术 很 多 ， 这 里 仅 对 云 计 算 的 部 分 核心 技术 进行 了 简单 阐述 。 需 要 指出 
的 是 ， 虽 然 云 计算 是 发 展 趋势 所 在 ， 但 现在 对 云 计 算 基 础 关键 技术 的 研究 还 远 远 不 够 ， 业 界 过 
于 偏重 虚拟 化 技术 ， 而 忽视 了 对 计算 机 系统 技术 的 研究 。 

3. 节能 技术 

在 云 计算 环境 中 ， 数 据 中 心 是 云 计算 硬件 架构 底层 的 独立 计算 单位 。 数 据 中 心 的 基础 设 
施 通 常 由 数 以 万 计 的 计算 机 构成 ， 随 之 而 来 的 一 个 吸 待 解决 的 问题 是 数据 中 心 巨 大 的 能 源 消 
耗 。 据 统计 ，2010 年 数据 中 心 能 耗 已 经 占 全 球 总 能 耗 的 1.3%， 绿 色 化 刻不容缓 。 

针对 上 述 问题 ， 国 内 外 学 者 及 相关 机 构 已 经 对 诸多 节能 技术 进行 研究 ， 并 提出 了 很 多 降 
氏 能 耗 的 方法 。 

(1) 组 件 级 的 节能 ”目前 对 于 计算 机 系统 组 件 的 设计 追求 的 目标 是 使 得 这 些 组 件 能 够 按 
使 用 率 成 比例 地 消耗 能 源 ， 即 存储 系统 中 的 缓存 、 内 存 以 及 硬盘 等 没有 使 用 的 部 分 是 不 消耗 或 
只 消耗 很 少 的 能 量 。 组 件 级 的 节能 主要 包括 CPU 组 件 节能 和 存储 组 件 节能 两 种 形式 。 早 期 解 
决 服务 器 级 能 耗 问题 的 主流 技术 是 动态 电压 和 频率 缩放 (DVFS) 方法 。 其 核心 思想 是 通过 动 
态 调整 CPU 的 电压 和 频率 ， 使 其 能 动态 适应 负载 的 变化 ， 进 而 实现 节能 。 基 于 DVFS 的 节能 
技术 都 是 利用 物理 机 CPU 的 空闲 时 间 来 降低 能 耗 。 对 于 云 数 据 中 心 ， 人 们 对 共处 一 个 物理 机 
内 虚拟 机 的 能 耗 更 加 感 兴 趣 。 显 然 ， 基 于 DVFS 的 节能 技术 不 能 直接 应 用 于 引入 虚拟 化 技术 
f] zo pact, 

(2) 服务 器 整合 ”通过 虚拟 化 技术 进行 节能 已 有 一 些 早期 的 研究 。 研 究 方法 主要 是 通过 
虚拟 技术 如 虚拟 机 动态 迁移 机 制 进行 服务 器 整合 ， 使 一 些 物理 机 处 于 空闲 状态 ， 然 后 通过 使 其 
处 于 休眠 或 关机 状态 ， 达 到 节能 效果 。 比 如 Vogels“ RI Nathuji 等 人 [的 从 能 耗 的 观点 出 发 ， 探 
索 使 用 虚拟 化 进行 服务 器 整合 的 优点 。 更 进一步 ， 一 些 研究 者 对 采用 虚拟 化 技术 的 集群 系统 如 
何 通过 动态 配置 方法 进行 能 耗 优化 而 进行 了 研究 。 比 如 Petrucci 等 人 四 针对 虚拟 化 集群 ， 提 出 
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了 一 个 考虑 关 停 资源 代价 、 采 用 服务 器 整合 策略 实现 节能 的 算法 ，Kusic 等 人 四 提出 











先行 控制 优化 策略 来 指导 服务 器 整合 。 
(3) 数据 副本 管理 MapReduce 的 



































于 源 实 现 Hadoop 的 分 布 文 从 
































基于 有 


限 


EF 系统 CHDFS) 默认 地 


对 每 个 数据 项 保持 三 个 副本 。 三 个 副本 意味 着 300% 的 高 昂 设 备 运 营 费 用 。 这 种 典型 的 超额 











配置 保证 在 资源 需求 高 峰 期 间 能 维持 数据 的 可 用 性 。 斯 坦 福 大 学 的 Leverich 等 人 [的 而 
dej. 通过 改变 数据 副本 放置 策略 可 以 有 效 节 省 系统 能 耗 。 例 如 Amir 等 人 [入 















































MapReduce 集群 提出 了 一 个 将 数据 项 以 
关闭 不 含 数 据 项 的 部 分 节点 以 实现 节能 。 















































PX Hadoop 的 任务 调度 和 数据 块 分 配 算法 ， 使 得 任务 调度 与 数据 副本 位 置 


达到 节能 效果 。 





(4) 节点 启动 与 关闭 《与 数据 副本 管理 






























































倾斜 方式 放置 数据 副本 的 策略 ， 这 可 


























多 
对 
就 有 可 能 通过 


Pinheiro 等 人 通过 把 原始 数据 和 宛 余数 据 分 开 存 
放 到 不 同 节点 上 达到 节能 目的 。 参 考 文献 [48] 中 提出 了 一 个 基于 超 图 的 副本 存储 优化 节能 算 
法 。 另 外 ， 不 同 的 数据 副本 放置 策略 会 对 系统 性 能 产生 一 定 影响 。 比 如 Vasic 等 人 四 通过 修 


































































































与 能 耗 之 间 的 最 佳 折 中 。 目 前 ， 关 于 节点 
决策 ， 使 不 常用 的 节点 处 于 低能 耗 或 关闭 
方法 决策 何 时 让 一 些 节 点 进入 睡眠 状态 来 



































的 机 器 学 习 方法 进行 能 耗 管理 和 自 适应 的 









































处 于 不 活动 状态 而 达到 节能 。 
1.7.6 ”应 用 编程 接口 























能 相互 感知 ， 进 而 


策略 和 服务 器 整合 技术 紧密 相关 的 另 一 关键 技术 
是 节点 启动 与 关闭 策略 。Goiri 等 人 名 的 研究 表明 :通过 减少 在 线 节点 数量 可 以 实现 节点 数量 



































管理 策略 的 研究 思路 主要 是 采用 机 器 学 习 等 理 





状态 来 节能 。 例 如 Kamitsos 4& A PU 
























































E 论 进行 
基于 Bellman 
节能 ，Berral 等 人 中 提出 了 一 个 能 量 感知 的 节点 启 停 
算法 。 该 算法 在 保证 最 大 性 能 的 前 提 下 ， 利 用 系统 行为 信息 和 学 习 模型 预测 系统 能 耗 量 及 


CPU 负载 ， 进 而 改进 任务 调度 决策 。Berral 等 人 中 提出 从 资源 、 能 耗 和 负载 行为 中 直接 学 习 


任务 调度 。 针 对 MapReduce 集群 ，Cardosa ^5: A8 








出 通过 动态 重 定位 虚拟 机 ， 使 在 线 节 点 数量 保持 最 小 ， 即 使 空闲 节点 最 多 ， 也 可 以 使 空闲 节点 


应 用 程序 编程 接口 APD 具有 不 同 的 表现 形式 ， 可 以 是 简单 的 URL 操作 ， 也 可 以 是 复 





























杂 的 类 似 SOA 的 编程 模型 。API 的 发 展 有 助 于 开发 云 计算 的 潜力 和 隐藏 扩展 现存 IT 管理 程 
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及 云 服务 方面 的 复杂 操作 。 比 如 ， 通 过 IaaS 云 服 务 供应 商 Amazon EC2 提供 的 API， 用 户 可 
以 方便 地 创建 和 管理 云 资源 。 所 有 的 Xas 开发 人 员 ， 都 需要 熟悉 特定 云 平 台 的 API 来 部 署 和 


























管理 软件 模块 到 XaaS 平台 。 




























































































此 ， 制 订 统 一 的 标准 化 云 API 规范 是 云 标准 化 组 织 当 下 所 面临 的 具有 挑战 性 的 工作 之 一 5。 





1.7.7 云 计 算 安 全 












































如 今 ， 云 用 户 所 面临 的 关键 挑战 之 一 是 每 个 云 服务 供应 商都 有 自己 的 一 套 API。 其 结果 
是 ， 在 不 同 云 平 台 之 间 进 行 云 应 用 移植 存在 一 定 的 困难 ， 并 且 这 些 程序 很 难 进行 互 操 作 。 因 



































有 的 如 虚拟 化 和 可 伸缩 等 特性 使 得 传统 的 安全 技术 无 法 完全 保证 用 户 托管 到 云端 中 数 ] 














伴随 着 云 计算 的 快速 发 展 ， 越 来 越 多 的 企业 或 个 人 将 数据 托管 到 云端 。 但 是 云 计 算 所 
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据 的 安 


全 ， 安 全 事件 屡见不鲜 ， 导 致 很 多 人 抱 着 观望 和 谨慎 的 态度 看 待 云 计算 。 目 前 ， 云 计算 的 安全 














问题 已 成 为 推广 云 计算 的 障碍 
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针对 云 计算 面临 的 安全 挑战 ， 国 内 外 研究 者 对 云 计算 安全 的 一 些 关 键 技术 进行 了 相关 研 

















中 加 密 数据 处 理 。 用 户 数据 应 以 密 文 形式 存储 在 云 
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中 ， 如 果 能 够 直接 在 密 文 上 进行 计算 ， 则 有 利于 保证 数据 安全 和 用 户 隐 私 。 目 前 关于 密 文 处 
里 的 研究 主要 集中 在 基于 密 文 的 检索 与 处 理 。 比 如 ，2009 年 IBM 研究 员 开 发 了 一 种 全 同 态 加 
密 方 案 ， 使 得 云 应 用 在 不 解密 数据 的 状态 下 处 理 数 据 叶 。 若 该 技术 进入 实施 阶段 ， 就 可 以 解 
决 云 中 数据 在 整个 生命 周期 内 的 加 密 问 题 。 再 如 微软 公司 于 2009 提出 的 Cryptographic Cloud 
Storage "中 实现 了 基于 密 文 的 检索 、 基 于 属性 的 加 密 机 制 和 数据 持 有 性 证 明 等 技术 。 名 数据 
隐私 保护 。 云 中 数据 隐私 保护 涉及 数据 的 整个 生命 周期 。 参 考 文献 [58] 在 云 中 数据 的 生成 与 计 
算 阶 段 引 入 集中 信息 流 控制 和 差分 隐私 保护 技术 ， 防 止 计 算 过 程 中 非 授 权 的 隐私 数据 被 泄露 ， 
并 支持 对 计算 结果 的 自动 解密 。 参 考 文献 [59] 针 对 云 中 数据 的 存储 和 使 用 阶段 ， 提 出 一 种 基于 
客户 端的 隐私 管理 工具 来 支持 用 户 控制 自己 的 敏感 信息 在 云端 的 存储 和 使 用 @ 可 信 云 计算 。 将 
可 信 计 算 技术 引入 云 计 算 ， 以 可 信赖 方式 向 用 户 提供 云 服 务 是 云 计 算 发 展 的 必然 趋势 。 参 考 文 
献 [60] 中 提出 了 一 个 可 信 云 计算 平台 。 通 过 此 平台 可 以 为 用 户 提供 一 个 密闭 的 箱 式 执行 环境 ， 
确保 用 户 虚拟 机 运行 的 安全 性 。Sadeghi 等 人 的 认为 可 信 计 算 技术 可 以 解决 外 包 数 据 的 机 密 性 
和 完整 性 问题 。 沈 昌 祥 院士 认为 引入 可 信 根 和 信任 传递 概念 到 可 信 云 计算 框架 ， 可 实现 对 云 服 
务 的 完整 性 度量 和 验证 外。 因此 ， 将 可 信 计 算 与 云 计 算 相 结 合 ， 能 实现 云 计算 对 恶意 代码 的 
“免疫 ”， 为 系统 运行 提供 基础 可 信 环 境 ， 确 保 各 项 安全 机 制 的 正确 实施 。 云 安全 体系 与 技术 
框架 。 参 考 文献 [63] 中 提出 了 一 种 结合 公 钥 基础 设施 、 轻 量 目 录 访问 协议 和 单 点 登录 等 技术 的 
云 计算 解决 方案 。 该 方案 引入 可 信 的 第 三 方 提供 安全 认证 ， 并 根据 云 计算 系统 分 层 的 特性 ， 分 
别 给 物理 层 、 基 础 设施 即 服务 、 平 台 即 服务 、 软 件 即 服务 提供 安全 认证 。 汉 登 国 等 人 后] 提出 
一 个 包含 云 计算 服务 体系 、 云 计算 安全 标准 及 测评 体系 两 大 部 分 的 云 计算 安全 框架 。 这 个 框架 
可 以 为 用 户 的 安全 目标 提供 技术 支撑 。 

整体 上 来 讲 ， 关 于 云 计算 安全 问题 的 研究 刚刚 起 步 ， 虽 然 很 多 的 组 织 和 机 构 都 在 积极 地 
对 云 计 算 的 安全 问题 进行 分 析 和 研究 ， 但 主要 是 CSA 以 及 微软 、 谷 歌 等 组 织 与 机 构 所 给 出 的 
对 云 计 算 安 全 问题 的 描述 和 关于 云 计算 安全 问题 的 初步 解决 方案 。 比 如 微软 为 云 平台 Azure 配 
置 一 种 称 为 “Sydney” 的 安全 计划 ， 帮 助 用 户 在 服务 器 和 Azure 云 之 间 交 换 数据 ， 以 解决 虚拟 
化 带 来 的 安全 问题 。 
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云 计 算 并 未 带 来 太 多 新 的 安全 问题 ， 但 
于 云端 主机 中 ， 所 以 云 1 
要 想 让 企业 和 个 人 
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也 无 法 消除 原 有 的 安全 问题 。 由 于 数据 集 ! 
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须 首先 致力 于 解决 云 计算 所 面临 的 各 利 
的 内 在 原 
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云 计算 服务 正方 兴 未 艾 ， 调 查 
云 或 私有 云 ， 企 
益 普 及 下 ， 随 着 云端 产业 的 发 展 日 趋 成 熟 ， 计 算 走 向 云端 已 是 
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云 计 算 ， 放 心地 将 
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但 是 ， 使 用 云 计 算是 有 风险 的 。 
远 少 于 企业 本 身 信 息 系 统 宕 机 的 频率 ， 但 若 发 生 服务 ， 
决定 是 否 实施 云 计算 解决 方案 时 ， 
坏 、 安 全 漏洞 、 数 




















此 、 政 府 机 构 或 学 校 都 





息 系统 相 比 的 最 大 差异 在 于 云 
己 的 数据 交付 于 云 服务 提供 
安全 问题 。 本章 主要 就 什么 是 到 安全 、 产生 云 安全 
面 对 云 安全 问题 我 们 能 采取 什么 样 的 技术 等 
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问题 进行 曾 述 。 
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就 像 飞 机 的 出 事 率 远 低 于 汽车 一 样 


项 趋势 。 
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场 营运 灾难 。 





怎样 确保 他 们 信息 的 安全 性 














高 的 要 求 门 。 
2.4.4. 云 带 来 的 挑战 与 安全 问题 
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尽管 云 计算 为 运 
新 的 专门 针对 云 计算 系统 的 安全 性 

目前 ， 云 计算 平台 面临 的 安全 
年 1 月 ，Google 的 Gmail 
ORMAI. kki 2009 年 3 H, Google 发 生 大 批 
日 户 保存 在 Google Does 的 部 分 文档 会 在 用 户 不 知晓 的 情 
9 Æ, Amazon 平台 被 僵尸 网 络 恶 
在 Amazon 的 服务 器 上 安装 了 一 个 未 
H, Amazon 的 S3 服务 两 次 中 断 ， 
2011 年 4 H, Amazon 在 弗 吉 尼 
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站 受到 影响 。 


不 过 ， 大 多 数 现 有 云 服务 的 安全 性 
安全 特征 。 因 
依据 。 
从 图 2-1 可 以 看 出 
生 、 性 能 和 可 用 性 是 人 们 最 关心 和 最 需 解决 的 三 个 问题 。 
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成 为 最 大 的 顾虑 。 
因素 对 于 云 计 算 平 台 的 安全 提出 了 更 
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威胁 主要 来 源 于 以 下 几 方面 : 007^ d Di 
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户 名 和 密码 安全 受到 威胁 。 


户 文件 外 泄 事件 ， 因 Google BJ 


ORAM 











黑客 是 通过 








入 侵 
授权 的 命令 和 控制 程序 。 
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亚 州 的 云 计算 中 心 宕 机 ， 导 致 
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特定 的 有 限 服务 ， 而 且 不 同 云 服务 具有 不 同 的 
要 对 云 服务 的 安全 和 隐私 问题 进行 调查 ， 为 建立 安全 可 靠 的 云 服务 环境 
图 2-1 是 IDC 公司 对 云 所 带 来 的 挑战 与 安全 问题 的 统计 结果 门 。 
E 需 要 解决 的 九 大 挑战 与 安全 问题 。 其 ， 
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(1) 安全 性 ”安全 是 指 没有 人 危 
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图 2-1 云 计算 所 带 来 的 挑战 和 问题 








的 数据 不 被 未 授权 人 员 盗 取 和 访问 的 性 能 。 














险 和 风险 。 在 信息 领域 中 ， 安 全 性 是 保证 存储 在 计算 机 上 




















云 计 算 中 。 用 户 通常 都 希望 自己 保存 在 云 中 的 数据 是 安全 的 ， 而 且 企业 的 数据 一 般 都 涉 
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端 ， 那 么 意味 着 用 户 的 数据 安全 完全 依赖 于 云端 服务 提供 商 ， 如 果 云 服务 提供 商 本 身 对 于 数据 


























] 户 数据 汇 圳 或 于 失 。 男 外 ， 云 服务 提供 商 拥 有 对 数据 进 











安全 的 控制 存在 琉 漏 ， 则 有 可 能 导 
从 而 也 存在 内 部 人 员 资 窃 这 些 机 密 数 据 的 可 能 口 。 


行 操作 的 最 高 权限 ， 






































(2) 性 能 云 计算 的 出 现 已 经 彻底 改变 了 传统 网 络 的 服务 模式 ， 同 时 提供 了 一 种 新 型 
































的 商业 模式 。 但 1 





























于 云 计 算 服 务 的 灵活 性 ， 巨 大 的 用 户 数量 等 也 给 管理 者 带 来 了 很 多 挑 








战 


高 性 能 特性 。 




















(3) 可 用 性 


后 ， 系 统 在 不 中 断 任何 


对 于 云 计算 环 
缺乏 可 能 会 导致 数 























因此 ， 必 须 和 采取 有 效 的 作业 调度 算法 和 负载 平衡 机 制 等 技术 才能 有 效 保证 云 服务 的 














可 用 性 是 指 系统 出 现 异 常 时 仍 能 提供 服务 的 能 力 。 比 如 一 个 人 硬盘 失效 之 








应 用 的 前 提 下 ， 仍 能 提供 数据 访问 能 


境 而 言 ， 可 用 性 至 关 重 要 。 当 用 户 无 法 访问 自己 的 数据 时 ， 可 用 性 的 
据 删 除 、 访 问 权限 撤销 或 限制 对 数据 本 身 的 物理 访问 等 严重 后 果 。 因 

















此 ， 当 用 户 在 更 用 




















云 服 务 提供 商 提 供 的 服务 之 前 ， 通 常会 考虑 以 下 这 些 问题 ， 云 服务 提 

















供 商 是 否 足 够 可 靠 
的 个 人 数据 ? 数据 
了 怎么 办 ? 这 些 事 
算 的 普及 和 发 展 。 











? 如 果 出 现 异 

















常情 况 ， 云 服务 提供 商 提 供 有 哪些 应 急 措 施 来 保护 用 户 



































存储 在 云 服 务 提供 商 的 云端 是 不 是 足够 可 靠 ? 云 服 务 提 供 商 如 果 倒 闭 


























件 的 发 生 都 会 给 用 户 带 来 巨大 的 损失 ， 这 也 在 很 大 程度 上 影响 了 云 计 














总 之 ， 随 着 服务 形态 的 改变 所 衍生 的 安全 问题 已 成 为 制约 云 计 算 发 展 的 首要 因素 。 
2.1.2 ”引起 云 安全 问题 的 缘由 























云 计 算 最 大 卖点 是 不 需要 什么 维护 ， 服 务 随时 都 可 使 用 。 同 时 ， 云 用 户 可 依据 资源 需求 
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调整 用 量 ， 无 须 管理 超过 需求 的 数据 中 心 容量 ， 而 按照 实际 月 
算 望 而 却步 ， 其 主要 顾虑 就 是 安全 性 ， 即 能 够 把 企业 的 全 部 数据 ， 
云 服务 供应 商 吗 ? 云 服务 供应 商 提 供 的 存储 月 

访问 或 窃取 呢 ? 尽管 云 计算 号 称 全 天 候 提 供 服务 ， 但 数据 

















企业 不 敢 依赖 单一 的 


























可 能 还 要 遭遇 信誉 和 移植 成 本 的 问题 。 
原因 源 于 云 计算 所 采用 的 技术 或 实现 方案 ， 比 如 : 





起 上 述 疑 虑 的 主要 
(D 多 租户 
源 调 度 与 物理 资源 绑 定 。 


引 















































Jt 
在 云 计算 








FP， 资源 以 虚拟 和 租 月 
| 于 云 计 算 采 用 的 多 租户 策略 ， 不 同 租 


FP 心 仍 有 可 能 因 
服务 供应 商 。 如 果 万 一 需要 将 数据 与 服务 移植 到 另 一 家 云 服务 供应 商 时 ， 





























量 付费 。 然 而 很 多 企业 仍 对 云 计 
[至 整个 商业 架构 ， 都 交 给 


有 务 安全 吗 ? 如 何 才能 避免 用 户 数据 被 非 授权 人 员 











故障 停摆 ， 因 























的 方式 提供 








给 




















定 到 同一 物理 资源 上 。 只 要 














户 使 用 的 虚拟 资源 可 能 会 











r MP. 





有 


部 资源 就 不 可 避免 地 存 右 





ASH 








E 同 一 物理 





FUSE X 











相 邻 租户 发 起 攻击 的 可 和 











E。 也 就 是 说 ， 对 云 服务 供应 商 来 刘 








的 经 济 效益 ， 但 也 会 带 来 安全 问题 。 
虚拟 化 技术 是 云 计算 赖 以 生存 的 核心 技术 ， 几 乎 所 有 的 云 服务 提供 商都 是 通过 虚拟 化 技 











术 实 现 多 租户 商业 模式 的 ， 


安全 性 。 比 如 ， 恶 意 用 户 利 用 虚拟 平 





也 为 月 





日 户 数据 的 安全 埋 下 隐患 





m. 





因此 虚拟 化 技术 引起 的 安全 性 问题 将 严 习 
其 控制 权 ， 会 导致 云 安 4 











合 的 漏洞 而 获得 











(2) 数据 
FEA 


y 
四 

















不 





4 


























包 在 云 环 境 中 ， 云 端的 数据 存储 空间 是 由 




















影响 云 计算 
Ei e Hit 























云 计算 服务 提供 商 动 态 提供 ， 




















定 的 物理 位 置 上 。 这 些 动态 数据 存储 空间 存在 很 多 不 有 








数据 存储 空间 ， 也 可 能 是 虚拟 的 数据 存储 空间 。 另 外 ， 在 使 朋 




















权 给 云 服务 提供 商 从 而 脱离 





WN 


障 自己 上 传 至 云端 数据 的 安全 性 ， 而 是 完全 
缺失 使 得 用 户 隐 私 数据 的 安全 问题 变 得 更 加 
在 这 种 服务 模式 下 ， 恶 意 的 云 服务 提 供 























了 








JP A 


己 的 保护 范 





pa 























uli E 
o 








日 云 计算 Hj , 
围 ， 即 数据 外 包 意 味 着 
云 服务 提供 商 负责 。 显 然 ， 








dE DA 



























































AM 
WI 


























H 











即使 云 服务 提供 商 不 是 恶意 























有 的 大 多 数 保护 机 制 无 法 阻 
另外 ， 很 多 政府 如 美国 
访问 ， 这 就 使 得 我 们 









































的 ， 





了 


j 户 的 数据 也 会 受到 外 部 攻击 。， 
上 这 种 攻击 ， 因 
政府 ， 即 
E 以 保护 存 











| 于 存在 内 部 人 员 失 
总 之 ， 用 户 无 法 家 
为 
使 在 没有 传票 的 情 
诸 在 这 些 服务 器 中 的 数据 。 


ZNS 





















































对 村 











明文 数据 。 对 于 参与 计 


生 的 数据 流 和 隐私 信息 。 而 ] 

















静态 存储 数据 而 言 ， 云 服务 提供 商 可 以 直接 窃取 和 自 改 用 户 存 储 在 云端 月 








以 直接 窃取 用 户 的 数据 而 不 会 被 
黑客 攻击 以 及 系统 故 
保 其 数据 是 否 被 云 服务 提供 
具有 特殊 权限 的 员工 可 以 轻松 地 绕 过 这 些 
况 下 ， 也 可 以 对 云 服务 提供 

















商 正 确 使 用 。 
DIE 











—— 


fJ 





























FIERIS BRE PEDES N ESRAR 
是 ， 如 果 没 有 监控 机 制 ， 云 服务 提供 


is ds ER 


而 导致 


] 户 ， 这 些 虚 拟 资源 根据 资 
被 绑 
主机 上 的 
HH， 虽然 多 租户 商业 模式 可 以 带 来 好 


F 合 和 架构 的 


这 


而 


素 ， 可 能 是 现实 的 
户 的 数据 必须 被 授 
昌 户 不 能 有 效 控制 和 保 
j 户 对 数据 控制 权 的 


JP REL, 
障 等 安全 风险 ， 


现 
ZB 





的 服务 器 进行 


N 
Ya 
y 














日 户 使 月 
商 的 非法 行为 或 安全 机 种 



































路 的 情况 不 会 被 用 户 所 察觉 





> f 








等 方面 都 得 不 到 有 效 保障 。 
需 用 户 可 控 的 监控 机 制 来 保 
针对 上 述 问题 ， 

















云 服 务 提 
被 分 解 为 散乱 的 状态 ， 想 要 破译 与 还 原 数 据 的 
虑 。 在 一 个 以 信息 为 王 的 时 代 里 ， 即 使 是 数据 碎片 的 泄露 也 可 





PH 














障 











E 数 据 存储 和 计算 时 ， 数 据 的 机 密 性 、 
FE， 针对 数据 外 包 和 云 服 务 提 供 商 不 可 信和 而 引起 的 安全 风险 ， 骂 
j 户 数据 安全 。 











商 





Z/N 

















TERETE ERAI 








认为 “完全 不 必 担心 ”数据 安全 问题 。 因 
作 度 非常 高 ， 但 这 仍然 无 法 完全 打消 人 们 的 疑 
























































数据 被 还 原 和 泄露 的 可 能 性 








E， 云 计算 服务 就 会 被 














云 计算 技术 




















能 会 带 来 严 了 








了 


有 服务 过 程 中 
UOS 
E 和 可 靠 性 


为 数据 在 集群 


EE 的 后 果 。 只 要 存在 


高 安全 要 求 级 别 的 客户 拒 之 门 外 。 更 何况 随 着 
广 和 应 用 ， 其 暴露 的 安全 问题 越 来 越 多 。 





È 
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2.1.3 BEERA 
云 安全 的 概念 最 早 是 由 趋势 科技 公司 在 2008 年 5 月 提出 的 。 自 云 安全 这 一 概念 提出 后 ， 
曾 引 起 了 广泛 的 争议 ， 目 前 已 经 得 到 了 众多 安全 厂商 的 认可 。 
如 图 2-2 所 示 ， 云 安全 主要 包含 两 个 方面 的 含义 。 第 一 是 确保 云 计算 应 用 健康 可 持续 发 
展 的 云 计 算 自 身 环境 的 安全 保护 ， 也 称 为 云 计算 安全 。 它 是 云 计算 本 身 引 入 的 新 的 安全 问题 。 
这 是 一 个 非常 广泛 的 领域 ， 几 乎 涉及 所 有 计算 机 安全 问题 ， 如 云 计 算 平台 系统 安全 、 用 户 数据 
安全 存储 与 隔离 、 用 户 认 证 、 信 息 传 输 安全 、 网 络 攻击 防护 等 。 












































































































































































保护 云 计 算 本 身 的 安全 性 


AI 





PRENI 


安全 作为 云 计 算 的 一 种 服务 





图 2-2 云 安全 概念 


第 二 个 含义 是 安全 作为 云 计算 的 一 种 服务 ， 也 称 为 安全 云 ， 即 通过 采用 云 计算 技术 来 
提升 安全 系统 的 服务 效能 的 安全 解决 方案 ， 主 要 是 指 利用 新 型 的 云 计 算 模 式 重 新 部 署 原来 
在 传统 架构 上 实现 的 安全 防护 功能 ， 可 以 在 一 定 程度 上 增强 安全 防卫 的 效果 。 比 如 ， 可 以 
弥补 传统 杀毒 模式 的 不 足 ， 提 高 杀毒 的 实效 性 。 例 如 ， 趋 势 科 技 在 全 球 建 立 了 5 个 数据 中 
心 ， 可 以 支持 平均 每 天 55 亿 条 点 击 查询 ， 每 天 收集 分 析 2.5 亿 个 样本 ， 数 据 库 第 一 次 命中 
率 就 可 以 达到 99%。 借 助 云 安全 解决 方案 ， 趋 势 科技 现在 每 天 阻 断 的 病毒 感染 最 高 达 1000 
HK”, 

确切 地 讲 ， 安 全 云 是 指 将 云 计算 技术 应 用 于 网 络 安全 领域 ， 通 过 对 网 络 安全 设施 资源 及 
业务 能 力 进 行 云 化 ， 形 成 安全 能 力 资源 池 ， 并 基于 互联 网 为 客户 提供 按 需 的 网 络 安全 服务 ， 从 
而 实现 网 络 安 全 即 服 务 的 一 种 技术 和 业务 模式 。 安 全 云 的 基本 特征 站 如 下 : 

1) 资源 池 化 。 以 安全 资源 的 集群 和 池 化 为 基础 。 

2) 网 络 化 。 以 互联 网 为 基础 的 业务 提供 途径 。 

3) 透明 化 。 可 透明 受 加 在 客户 网 络 或 业务 上 。 

4) 按 需 的 可 伸缩 服务 。 安 全 功能 可 分 离 ， 安 全 处 理性 能 的 可 伸缩 。 

5) 业务 提供 服务 化 。 用 户 不 必 购 买 安全 设施 ， 而 直接 租用 相应 的 安全 服务 。 

本 书 所 要 讨论 的 云 安全 主要 是 指 云 计 算 安 全 《简称 云 安全 )。 其 内 容 主要 包括 如 何 保障 云 
计算 应 用 服务 的 可 用 性 ， 数 据 机 密 性 、 完 整 性 和 可 用 性 ， 隐 私 权 的 保护 等 。 


2.1.4” 云 安全 问题 的 分 类 

云 计 算是 一 个 复杂 的 庞大 系统 ， 其 安全 问题 涉及 面 非常 广泛 。 根 据 SPI 的 服务 交付 模 
式 、 部 署 模型 和 云 的 本 质 特 征 ，Parekh 等 人 将 云 计 算 所 面临 的 存在 于 包括 网 络 级 、 主 机 级 和 
应 用 级 在 内 的 基础 设施 的 安全 问题 进行 分 类 四， 如 图 2-3 所 示 。 此 分 类 揭示 了 云 计算 所 面临 的 
常见 挑战 。 
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云 计算 安全 挑战 








服务 模型 





克隆 和 资源 池 
数据 移动 性 和 
数据 残留 

BH 


虚拟 机 跳跃 




































弹性 界限 
享 多 租赁 环境 
未 加 密 数据 
Eg 





身份 管 





图 2-3 REENA 


1. 部 署 模型 及 面临 的 挑战 































从 云 计算 应 用 的 服务 对 象 来 看 ， 主 要 涉及 公有 云 、 私 有 云 及 混合 云 应 用 安全 。 它 们 遇 到 








的 相关 安全 挑战 有 以 下 儿 种 : 
(1) 克隆 和 资源 池 (Cloning and Resource Pooling) 





























利用 克隆 技术 进行 数据 复制 ， 可 能 

















会 导致 数据 泄露 。 作 为 服务 的 资源 池 由 去 用 户 共享 。 共 享有 可 能 使 未 经 授权 的 月 

















网 络 访问 共享 资源 。 


(2) 数据 移动 性 和 数据 残留 (Motility of Data and Data Residuals) 
据 保存 在 云端 。 在 公有 云 中 ， 随 着 数据 的 移动 ， 残 留 数 据 可 能 被 未 授权 的 月 
讲 ， 数 据 残留 在 私有 云 中 安全 威胁 比较 小 ， 但 像 数据 泄露 及 数据 不 一 致 性 等 问题 也 同 检 



























































户 通 过 同一 个 





























在 云 环境 中 ， 
有 户 访问 。 相 对 来 














] 户 数 


lL 存在 。 


(3) 弹性 界限 (Elastic Perimeter) ” 云 计 算 的 基础 架构 尤其 是 私有 云 都 存在 弹性 的 界限 问 














题 。 不 同 的 部 门 和 用 户 可 以 共享 不 同 的 资源 ， 但 导致 了 数据 分 割 的 问题 。 此 外 ， 不 























会 导致 数据 被 存储 在 不 信任 主机 上 ， 从 而 给 数据 私密 性 带 来 风险 。 





(4) 共享 的 多 租赁 环境 (Shared Multi-tenant Environment) ”多 租赁 是 云 计算 
特性 。 它 允许 多 用 户 在 同样 的 物理 基础 上 同时 运行 他 们 的 应 月 
有 云 的 多 租赁 特性 增加 了 安全 的 风险 。 同 时 ， 多 租赁 环境 使 得 云 计 算 承 受 潜在 的 VM 攻击 大 



































于 常规 的 IT 环境 。 






































的 一 个 重要 


日 软件 ， 而 相互 之 间 隐 藏 数据 。 共 


同 云 的 弹性 




















(5) 未 加 密 数据 (Unencrypted Data) ”数据 加 密 可 以 帮助 防御 各 种 外 来 的 恶意 威胁 。 未 


加 密 的 数据 很 容易 被 未 授权 的 用 户 访问 。 比 如 文件 共享 云 服务 提供 商 Dropbox 对 所 有 的 存储 
数据 使 用 单一 的 加 密 密 钥 ， 使 得 恶意 使 用 者 能 任意 盗 取 他 人 数据 。 






































(60 身份 验证 和 身份 管理 (Authentication and Identity Management) 
凭证 来 验证 身份 。 身 份 管理 的 一 个 关键 问题 是 不 同 令 牌 和 身份 商议 协议 之 间 的 互 操 作 性 。 采 用 









































的 技术 ， 除 了 提供 密码 外 ， 还 可 以 使 用 智能 卡 和 指纹 等， 




















以 获得 高 层次 的 安全 。 








身份 管理 通 i 
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2. 服务 模型 及 面临 的 挑战 


从 服务 层次 来 看 ， 主 要 涉及 终端 
和 虚拟 化 安全 等 。 它 们 遇 到 的 相关 安全 挑战 有 以 下 几 种 : 
HAE EG 





安全 


Æ, SaaS 


























户 云 应 用 安全 和 云 站 


(1) 数据 泄露 问题 (Data Leakage Problems) 


IS 








(2) Ex 
起 数据 泄露 。 





H (Malicious Attacks) 





素 ， 使 得 数据 从 本 地 上 传 至 云端 或 从 云端 下 载 至 本 





VE 


mi 








的 安全 ， 如 IaaS 安全 、PaaS 7E 











由 于 通 
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(3) 备份 和 存储 (Backup and Storage) 





U^ US 


云 服务 供应 商 通 常 都 提供 数据 备份 功能 。 
备份 的 数据 通常 是 未 被 加 密 的 ， 从 而 会 导致 安全 威胁 。 研 究 表明 局 ， 随 着 虚拟 服务 器 数 





的 增加 ， 数 据 的 备份 和 存储 会 成 为 一 个 问题 。 


(4) 共享 技术 问题 (Shared Technological Issues) 
晶 这 种 结构 通常 不 是 具有 强大 隔离 怕 
(5) 服务 劫持 CService Hijacking) 
授权 的 控制 。 服 务 劫持 不 是 一 种 针对 云 计算 的 新 威胁 ， 但 是 这 利 
二 者 劫持 了 云 用 户 的 账户 时 ， 攻 了 
也 可 以 借助 被 劫持 者 的 账户 3 





务 ， 














行 非 j 
严重 的 后 果 。 当 攻 了 


云 平台 

















上 的 活动 ， 同 时 











以 成 倍 放 大 。 服 务 动 持 常 采用 的 技术 有 钓鱼 、 软 件 算 改 和 欺骗 





能 的 多 租户 架构 。 
服务 劫持 是 指 一 些 非法 用 户 对 



































IaaS 云 月 
































C6) 虚拟 机 跳跃 〈Virtual Machine Hopping) 


一 个 物理 
源 程序 ， 改 变 它 的 配置 





























到 破坏 ， 但 这 个 攻击 要 求 是 这 两 个 虚拟 机 必须 位 于 同一 个 物理 机 
击 者 的 人 PP 地址 。 虚 拟 机 跳跃 是 laas 和 


3. 网 络 安全 问题 


云 计算 主要 依赖 Internet. 和 数据 ! 


硬件 的 其 他 虚拟 服务 器 ， 对 目标 虚拟 机 实施 攻击 。 攻 了 
， 其 至 删除 存储 数据 ， 使 男 一 个 虚拟 机 的 机 密 性 、 

















网 络 问题 。 
洪 攻 击 、 不 完整 数据 
(D 浏览 器 安全 
浏览 器 可 以 使 























网 。 





SS 








必须 允许 各 种 级 别 的 保 记 





(2) SQL 注入 攻击 (SQL Injection Attack) 


云 计 算 的 网 络 架 构 面 临 不 同 的 攻 吾 
删除 、 数 据 保护 和 XML 签名 等 。 
每 个 客户 端 使 用 浏览 器 发 送 的 信 ， 


(Browser Security) 








HAIZ 
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E, n RIAA 








HJ EI E RISE 





二 者 不 仅 条 
攻击 云 平 台中 的 其 人 

















有 务 提供 





也 的 过 程 中 造成 泄露 。 
日 户 通过 获得 访问 机 密 数据 的 访问 权限 ， 而 引 





Ett 陷 或 应 月 




















[威胁 在 云 平台 





PR 
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一 些 未 授权 的 服务 进 
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模式 提供 服 
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s 








获得 云 用 户 的 数据 ， 监 视 用 户 在 
也 月 





H^ 











， 这 样 就 使 危害 得 








虚拟 机 跳跃 


O 





是 指 借助 与 
者 能 够 查看 男 一 个 虚拟 机 的 资 








目标 虚拟 机 共享 同 










































































Paas 云 的 最 大 弱点 。 























tiu. [Hii 




















d EZTI Pit 
工具 来 获得 他 们 的 身份 信息 。 为 了 克服 这 个 问题 ， 每 个 人 应 该 有 一 个 单一 的 身份 ， 但 此 凭据 
得 批准 。 
此 类 攻击 是 云 计算 中 的 恶意 行为 ， 表 现 为 恶 








完整 性 和 可 用 性 都 受 

上 ， 而 且 攻 击 者 必须 知道 被 攻 

心 运行 各 种 应 用 。Takabi 等 人 外 首先 提出 云 计算 安全 的 
全 问题 ， 如 注入 攻击 、 浏 览 器 安全 问题 、 泛 





昌都 要 途径 互联 
过 使 用 探 嗅 包 等 














意 代码 注入 SQL 代码 中 ， 使 未 经 授权 入 侵 者 访问 数据 库 ， 最 终 得 到 机 密 的 信息 。 














(3) 泛 洪 攻击 (Flooding Attack) 

求 ， 使 得 云 自动 分 配 足 够 的 资源 来 } 
(4) XML 签名 元 素 包 装 (XML Signature Element Wrapping) 
击 。XML 签名 元 素 包 装 简单 改变 了 消息 的 签名 内 容 ， 而 不 月 
(5) 不 完整 数据 删除 (Incomplete Data Deletion) 
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Li 


ES 


L1 





一 定 危 


(6) 锁定 (Locks In) 
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V Ac. 



































在 这 个 攻击 





锁定 意味 着 数据 被 锁定 帮 

















在 云 计算 








bt 特定 的 要 求 。 




















PF， 入 侵 者 对 云 中 资源 瞬间 发 送 大 量 请 
入 侵 者 的 要 求 ， 而 正常 用 户 则 难以 正常 访问 资源 。 
这 是 一 个 常见 的 网 页 服务 
昌 算 改 签名 ， 进 而 误导 用 户 。 

， 删 除 不 完整 的 数据 存在 
。 当 数据 被 删除 后 ， 保 存在 备份 服务 器 上 的 数据 备份 不 会 被 删除 ， 该 服务 器 的 操作 系 
统 也 不 会 删除 备份 数据 ， 除 非 对 服务 提供 者 提 昌 


























E 某 云 服 务 供应 商 o | 





于 目前 还 没有 


















































能 保证 云 计算 、 数 据 、 应 用 或 服务 实现 可 移植 性 的 通用 标准 ， 这 使 得 用 户 从 一 个 云 服 务 
提供 商 迁 移 到 男 一 个 ， 或 将 服务 和 数据 迁 回 一 个 内 部 IT 环境 成 为 一 个 难以 实现 的 任务 。 
当 云 服务 提供 商 破产 或 倒闭 时 ， 这 种 数据 被 锁定 的 结果 是 灾难 性 的 ， 即 使 到 时 能 够 转 
移 ， 其 成 本 也 非常 昂贵 。 

比如 ， 在 SaaS 中 ， 客 户 数据 存储 在 云 服务 提供 商 设计 的 数据 库 中 ， 时 出 的 数据 格式 不 
一 定 能 直接 导入 其 他 云 服 务 提供 商 的 数据 库 中 。 在 Paas 云 中 ， 不 同 提 供 商 之 间 还 存在 API 
层面 的 兼容 问题 。IaaS 中 提供 商 内 部 的 云 环境 之 间 移 植 问 题 不 大 ， 但 实现 不 同 供应 商 订 制 的 
云 环境 间 的 移植 ， 还 需 开 放 标 准 被 支持 。 此 外 ， 对 于 云 服务 提供 商 而 言 ， 锁 定 被 认为 是 一 个 
高 风险 的 行为 ， 因 为 它 可 能 会 导致 以 下 漏洞 : 缺乏 标准 的 技术 和 解决 方案 ， 供 应 商 的 见 余 和 
缺乏 ， 以 及 在 使 用 条 球 上 的 缺乏 完整 性 和 透明 度 。 这 些 漏洞 可 能 会 造成 灾难 性 的 企业 倒闭 ， 
使 云 服务 提供 商 破产 。 


2.1.5 云 安全 的 需求 

对 于 云 计算 使 用 者 而 言 ， 什 么 程度 的 安全 才 是 足够 的 呢 ? 如 果 使 用 者 可 以 依赖 云 计算 而 
且 其 安全 性 符合 使 用 者 的 预期 ， 那 么 对 于 使 用 者 来 说 似乎 有 足够 的 安全 性 。 
安全 通常 分 为 可 用 性 、 机 密 性 、 数 据 完整 性 、 控 制 和 审查 五 大 类 ， 要 达到 足够 的 安全 ， 
就 必须 将 这 五 个 安全 分 类 系统 地 整合 在 一 起 ， 缺 一 不 可 。 

1. 可 用 性 

可 用 性 是 保证 得 到 授权 的 实体 或 进程 的 正常 请 求 能 及 时 、 正 确 、 安 全 地 得 到 服务 或 回 
应 ， 即 信息 与 信息 系统 能 够 被 授权 使 用 者 正常 使 用 。 可 用 性 是 可 靠 性 的 一 个 重要 因素 。 可 用 性 
与 安全 县 县 相关 ， 因 为 攻击 者 会 故意 使 用 户 数据 或 者 服务 无 法 正常 使 用 ， 甚 至 会 拒绝 授权 用 户 
对 数据 或 者 服务 进行 正常 的 访问 ， 如 拒绝 服务 攻击 。 

对 于 云 计 算 而 言 ， 可 用 性 指 云 平台 对 授权 实体 保持 可 使 用 状态 ， 即 使 云 受 到 安全 攻击 、 
物理 灾难 或 硬件 故障 ， 云 依然 保证 提供 可 持续 服务 的 特性 。 云 计算 的 核心 功能 是 提供 不 同 层次 
的 按 需 服务 。 如 果 某 些 服务 不 再 可 用 或 服务 质量 不 能 满足 服务 级 别 的 协议 ， 客 户 可 能 会 失去 对 
云 系 统 的 信心 。 因 此 ， 可 用 性 是 云 计 算 的 关键 。 

在 云 计 算 系 统 中 ， 可 用 性 要 求 系统 提供 对 于 未 知 的 紧急 事件 做 好 完整 的 商业 持续 营 
运 (Business Continuity) 与 灾害 恢复 计划 (Disaster Recovery)， 才 能 够 确保 数据 的 安全 
性 与 降低 停机 时 间 。 要 保证 可 用 性 通常 采用 加 固 和 克 余 策略 。 云 服务 提供 商会 针对 虚拟 
机 加 强 其 防护 ， 如 采用 防火 墙 以 隔离 恶意 的 IP 位 置 与 端口 ， 减 少 遭 到 恶意 攻击 的 机 会 ， 
如 此 一 来 系统 的 可 用 性 就 会 提高 。 宛 余 是 指 云 服务 提供 商会 在 许多 不 同 的 地 理 位 置 上 部 
署 相同 的 云 计算 系统 ， 系 统 部 署 在 不 同 所 在 地 可 以 隔离 错误 的 发 生 而 且 也 可 以 提供 低 延 
3R f ed 2 Ye Be 

当今 ， 许 多 云 供应 商 在 他 们 的 服务 级 别 协议 中 都 声称 他 们 将 保护 存储 的 数据 ， 几 乎 能 
99.999% 保 证 数据 的 可 用 性 。 然 而 ， 任 何 云 服务 提供 商都 不 可 能 会 保证 自己 的 云 基础 设施 永远 
处 于 正常 运行 状态 。 无 论 云 服务 提供 商 的 配备 多 么 完备 ， 基 于 云 服务 的 安全 漏洞 事件 时 有 发 
生 。 例 如 ，2008 年 7 月 ，Amazon 的 S3 遭受 了 2.5h 的 停电 ; 2009 年 2 月 ， 美 国 去 服务 提供 商 
Coghead 倒闭 ， 于 是 它 的 用 户 不 得 不 在 90 天 内 从 服务 器 中 取 回 他 们 的 数据 ， 不 然 这 些 数据 将 
会 同 公司 一 起 消失 。 
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2. 机 密 性 














机 密 性 又 称 为 保密 性 ， 是 指 保证 信息 仅 供 那些 已 获 授权 的 用 户 、 实 体 或 进程 访问 ， 不 被 
未 授权 的 用 户 、 实 体 或 进程 所 获知 ， 或 者 即便 数据 被 截获 ， 其 所 表达 的 信息 也 不 被 非 授权 者 



























































所 理解 。 




















在 云 计算 系统 中 ， 机 密 性 代表 了 要 保护 的 用 户 数据 秘密 。 
的 用 户 才 可 以 访问 存储 的 信息 。 云 计算 系统 的 机 密 性 对 于 使 月 





















































有 相应 权限 和 权限 授权 

















日 者 要 跨 入 云 计算 是 一 大 障碍 。 目 











前 云 计 算 提供 的 服务 或 数据 多 是 通过 互联 网 进行 传输 ， 容 易 暴 露 在 较 多 的 攻击 中 。 因 此 在 云端 








中 保护 用 户 数据 秘密 是 一 个 基本 要 求 。 














保证 数据 机 密 性 的 两 种 常用 方法 就 是 实体 隔离 与 数据 加 密 技 术 ， 通 过 这 两 种 方法 可 以 保 









































证 足够 的 机 密 性 。 在 实现 实体 隔离 的 做 法 上 可 以 采用 虚拟 局 域 网 与 网 络 中 间 盒 等 技术 。 目 前 可 

















以 采用 的 加 密 方法 有 很 多 ， 且 加 密 后 数据 的 存储 还 可 以 根据 不 同 的 产业 法 规 进行 配置 。 加 密 后 

















再 存储 的 数据 会 比 未 加 密 直接 存储 的 数据 更 加 安全 ， 



































许多 现 有 的 存储 服务 都 能 提供 数据 的 保密 性 ， 支 持 用 户 在 将 数据 发 送 到 云端 之 前 ， 人 允许 
























































以 及 数据 处 理 过 程 中 的 保密 性 。 
3. 数据 完整 性 


























在 客户 端 进行 加 密 。 云 用 户 对 数据 进行 保密 处 理 时 主要 关注 数据 传输 保密 性 、 数 据 存储 保密 性 


在 信息 领域 ， 完 整 性 是 指 保证 没有 经 过 授权 的 用 户 不 能 进行 任何 伪造 、 修 改 以 及 删除 信 














奶 的 行为 ， 以 保持 信息 的 完整 性 。 








数据 完整 性 是 指 在 传输 和 存储 数据 的 过 程 中 ， 确 保 数 











除 、 伪 造 、 乱 序 、 重 置 等 破坏 ， 并 且 保 持 不 丢失 的 特性 ， 


















































据 不 被 偶然 或 蓄意 地 修改 、 删 














k 有 原子 性 、 一 致 性 、 隔 离 性 和 
持久 性 特征 。 数 据 完 整 性 的 目的 就 是 保证 计算 机 系统 上 的 数据 处 于 一 种 完整 和 未 受 损害 尼 











状态 ， 即 数据 不 会 办 有 意 或 无 意 的 事件 而 被 改变 或 丢失 。 数 据 完 整 性 的 丧失 直接 影响 数据 























的 可 用 性 。 

















对 云 计算 系统 而 言 ， 数 据 完 整 性 是 指数 据 无 论 存储 在 数据 中 心 或 在 网 络 中 传输 ， 均 不 











会 被 改变 和 玉 失 。 完 整 性 的 目的 是 保证 云 平 台 的 数据 在 整个 生命 周期 中 都 处 于 一 种 完整 和 


未 受 损害 的 状态 ， 以 及 多 备份 数据 的 一 致 性。 多 备份 数据 的 完整 怕 

















E 和 一 致 性 是 用 户 和 服务 





提供 商 共 同 的 责任 ， 虽 然 他 们 是 两 个 完全 不 同 的 实体 。 用 户 在 将 数据 输送 到 云端 之 前 必须 
保证 数据 的 完整 性 ， 当 数据 在 云端 进行 处 理 的 时 候 ， 云 服务 提供 商 必 须 确 保 数 据 的 完整 性 


























和 一 致 性 。 








在 云 计算 系统 中 ， 数 据 完整 性 还 包含 数据 管理 ， 因 为 云 计算 提供 















































处 理 大 数据 的 能 力 ， 但 











是 存储 硬件 的 增长 速度 和 数据 的 增加 速度 并 非 成 正比 ， 云 服务 提供 商 只 能 一 直 增 加 人 硬 设备 以 应 
付 快速 增加 的 数据 量 ， 这 样 的 结果 容易 造成 节点 故障 、 人 硬盘 故障 或 数据 损坏 。 此 外 ， 人 硬盘 存储 
空间 越 来 越 大 ， 而 数据 在 硬盘 上 存 取 的 速度 并 未 增加 ， 这 也 容易 造成 数据 的 不 完整 。 而 对 于 未 















































经 授权 的 修改 ， 比 较 常见 的 方式 是 采用 数字 签名 技术 。 在 分 布 式 文件 系统 中 ， 通 常会 将 数据 分 
隔 成 许多 小 块 ， 每 个 数据 小 块 在 储存 后 都 会 附加 上 一 份 数字 签名 ， 可 以 用 于 完整 性 的 测试 与 数 




















据 损坏 后 的 恢复 。 
4. 控制 



































控制 代表 着 在 云 计 算 系 统 中 规范 对 于 系统 的 使 用 ， 包 含 使 用 应 用 程序 、 基 础 设施 与 数 

















据 。 云 计算 中 有 很 多 的 用 户 都 会 上 传 数据 到 云 计算 系统 中 。 
单 击 动 作 可 以 用 来 作为 目标 营销 的 依据 。 而 如 何 避 免 这 些 数 据 遭 























42 











j 户 在 网 页 上 的 一 连 串 
































1 滥用 ， 除 了 与 服务 供应 

















商 签订 合约 之 外 ， 还 可 以 遵循 不 同 产业 对 于 数据 保护 的 规定 。 因 此 有 效 地 控制 云 计算 系 统 





上 的 数据 存 取 以 及 规范 如 


5. 审查 





























审查 ， 也 称 稽 核 ， 表 示 观 看 云 计 算 系统 发 生 了 什么 事 ! 























E 云 计算 系统 中 应 用 程序 的 行为 可 以 提升 云 计算 系统 的 安全 。 
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青 。 审 查 可 以 额外 增加 在 虚拟 机 器 























的 虚拟 操作 系统 之 上 。 将 审查 能 力 加 在 虚拟 操作 系统 上 会 比 加 在 应 用 程序 或 是 软件 中 还 要 好 ， 








三 个 主要 的 属性 : 























因为 这 样 可 以 观看 整个 访问 的 过 程 ， 而 且 是 从 技术 的 角度 来 观看 整个 云 计算 系统 。 审 查 有 如 下 





























1) 事件 (Events)。 状 态 的 改变 及 其 他 影响 系统 可 用 性 的 因素 。 
2) 日 志 (Logs)。 有 关 用 户 
3) 监控 (Monitoring )。 不 能 被 中 断 以 及 必须 要 限制 云 服务 提供 商 在 合理 的 需求 下 使 用 


设备 。 

















6. 云 安 全 的 CIA 
统 很 少 能 够 满足 前 面 所 讲 的 五 个 安全 原则 。 但 针对 云 计算 系统 的 安全 需求 来 





目前 的 云 计算 系 


讲 ， 保 密 性 (Confidentiality )、 








的 应 用 程序 与 其 运行 环境 的 全 局 信息 。 





















































完整 性 (Integrity ) 和 可 用 性 





(Availability) 三 个 方面 是 保证 其 安全 的 三 个 核心 ， 也 称 为 CIA。 
图 2-4 表明 ， 保 密 性 、 完 整 性 和 可 用 性 三 个 方面 中 只 要 有 
一 个 方面 没有 确保 ， 那 么 这 个 云 计算 系统 的 数据 安全 性 就 不 能 


























得 到 保证 。 





HAZ. WAE 
数据 ， 避 免 数 据 泄露 ， 完 整 
算 改 ; 可 用 性 确保 只 有 











访问 数据 。 












































2.h6 ”去 安全 体系 架构 





目前 ， 国 际 上 对 云 计算 9 











外 保 只 有 经 过 授权 的 用 户 才 可 以 获取 
性 确保 数据 不 会 遭受 未 经 授权 的 
经 过 授权 的 用 户 ， 在 需要 时 可 以 随时 


的 安全 框架 还 没有 达成 统一 共识 。 但 是 为 了 消除 云 用 户 将 现 有 
应 用 迁移 到 云 过 程 中 的 安全 忧虑 ， 以 及 满足 企业 的 各 种 合 规 性 安全 要 求 ， 安 全 业界 及 不 同 组 









































图 2-4 数据 安全 的 三 个 核心 




































































织 ， 如 IBM、CSA 和 Gartner 等 分 别 对 云 计算 安全 问题 进行 了 总 结 分 析 ， 纷 纷 推出 各 自 的 云 安 


全 体系 架构 上 。 





























CSA 基于 云 计 算 的 三 种 服务 模型 提出 了 一 个 云 计 算 安 全 架构 ， 该 架构 描述 了 三 种 基本 云 
服务 的 层次 性 及 其 依赖 关系 ， 并 实现 了 从 云 服务 模型 到 安全 控制 模型 的 映射 。 该 框架 中 ， 由 于 
底层 的 IaaS 采用 大 量 的 虚拟 化 技术 ， 因 此 ， 虚 拟 化 软件 安全 和 虚拟 化 服务 器 安全 是 其 面临 的 














则 主要 由 客户 承担 。 















































主要 风险 。 在 IaaS 中 ， 服 务 提 供 商 负责 提供 基础 设施 和 抽象 层 的 安全 保护 ， 而 其 他 安全 职责 

















位 于 云 服务 中 间 的 Paas 面临 的 主要 安全 风险 是 分 布 式 文件 和 数据 库 安 




















全 、 用 户 接口 和 应 用 


应 用 开发 的 安全 性 则 
台 。 多 租户 技术 是 解决 这 一 问题 














务 提 供 商 对 SaaS 层 


安全 。 在 P 

















aaS 中 ， 服 务 提供 商 负 责 平 台 自 身 的 安全 保护 ， 而 平台 应 用 和 









































由 用 户 负 责 








。 位 于 云 服务 最 顶层 的 Saas 是 一 个 供 大 量 用 户 共享 的 软件 平 











IBM di T HAM 























此 信息 安全 











的 关键 ， 但 是 也 存在 着 数据 隔离 和 客户 化 配制 方面 的 问题 。 服 





的 安全 承担 主要 责任 。 











E 架 给 出 了 一 个 云 计 算 安 全 架构 。 它 从 资源 的 角度 分 为 以 下 5 





个 方面 : 用 户 认证 与 授权 ， 授 权 合法 用 户 进入 系统 和 访问 数据 ， 拒 绝 非 授权 的 访问 ，@ 流 程 





















































管理 ， 对 需要 在 云 计算 中 心 运行 的 项 目 如 资源 的 申请 、 变 更 、 监 控 及 使 用 进行 流程 化 的 管理 ; 
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昌 多 级 权限 控制 ， 对 云 计算 资源 的 访问 和 管理 














* 享 的 存储 设备 为 多 个 月 














员 等 ， 每 一 个 安全 领域 都 需要 进行 权限 控 
日 户 提供 存储 的 情况 ， 需 要 
限 ， 从 而 对 客户 所 有 的 数据 和 信息 进行 安全 保护 。 



































VMware 的 安全 架构 分 为 三 个 层 





护 数据 中 心 内 部 安全 区 域 ， 


下 安全 产品 实现 

















VMware vShield Zones. 














图 2-5 是 冯 登 
云 计算 安全 服务 体系 与 云 计 算 安 全 
系 主 要 以 数据 安全 与 隐私 保护 服务 为 目的 。 云 安全 服务 体系 由 一 
不 同 的 层次 可 划分 为 云 安全 应 用 服务 、 云 安全 基 而 


以 及 保护 虚拟 机 免 受 病毒 和 恶 
: VMware vShield Edge, VMware vShicld App. VMware vShield Endpoint 和 








国 等 人 提出 的 云 计算 安全 技术 框架 



































要 为 安全 服务 体系 提供 技术 与 支撑 。 





云 用 户 的 
安全 对 象 


数据 安全 
与 隐私 
保护 


用 户 定制 
安全 对 象 


ud 


云 基础 服务 


操作 系统 服务 | 搜索 服务 [seems || [viene | 认证 服务 | 授权 服务 | 
[eeu 
部 署 平台 服务 | | [mana | 审计 服务 


云 框架 服务 





云 计 算 安 全 服务 框架 





hr Am 
ES 


涉及 多 个 安全 领域 如 云 计 算 管 理 员 、 
制 ， 引 数据 隔离 和 保护 ， 针 对 使 用 统一 
施 管理 数据 的 访问 权 





通过 存储 自身 的 安全 措 


Hi: 保护 云 计算 中 的 虚拟 数据 

















云 计算 
































维护 


FP 心 免 受 外 围 网 络 威胁 、 保 


意 软 件 的 威胁 。 其 安全 体系 架构 由 以 


HI。 该 框架 包括 云 计算 安全 监管 技术 、 





_ 云 安全 应 用 服务 

















os 
警告 | 








云 计 算 安 全 
标准 系统 


t 





云 基础 安全 服务 








[ens | | 





普通 云 基础 设施 。 多 层 安全 云 基 础 设施 高 层 安全 云 基础 设施 


图 














2.1.7 








安全 提出 了 新 








1) 传统 





合 。 数 据 中 心 所 受到 的 安全 威胁 主要 表现 在 网 络 和 主机 两 个 层次 。 古 
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云 安 全 与 传统 信息 


云 安 全 问题 的 关注 焦点 已 从 以 往 
全 和 隐私 保护 转移 ， 形 成 了 涵盖 基 











息 安 全 的 区 别 





的 基础 架 








的 需求 和 挑战 ， 也 给 信 











CREAR. © 
息 安 全 带 来 了 新 
云 安全 有 别 于 传统 意义 上 的 信息 安全 ， 主 要 表现 在 如 下 几 个 方面 : 
言 息 安全 的 着 眼 于 数据 中 心 或 机 房 ， 体 现 为 信息 化 构建 


& 构 层 安全 


2-5 云 计 算 安全 技术 框架 












































的 思考 。 




















标准 三 大 部 分 。3 个 体系 之 间 相 互 关联 ， 相 互 影 响 。 技 术 体 
系列 云 安全 服务 组 成 ， 
服务 和 云 基础 设施 服务 。 云 计算 安全 标 


根据 


REE 


逐步 向 应 用 服务 安全 过 渡 ， 向 数据 安 
平台 支撑 及 服务 交付 层 的 立体 安全 需求 ， 既 对 信息 





架构 中 不 同 层次 的 安全 融 





E 网 络 层 ， 





经 常会 面临 如 非 














法 接 入 和 扫描 嗅 控 攻击 等 安全 威胁 。 常 规 手段 会 根据 威胁 产生 的 不 同 部 位 进行 安全 性 修补 ， 属 
于 一 般 性 被 动 防御 。 在 主机 层 ， 存 在 如 应 用 级 代码 攻击 服务 器 等 ， 通 常 也 会 采取 被 动 的 杀毒 软 
件 部 署 以 及 外 围 安全 措施 等 。 传 统 意义 上 的 信息 安全 考虑 更 多 的 是 封 堵 安 全 漏洞 。 同 时 ， 在 对 
于 各 个 层次 的 安全 保护 要 求 上 ， 必 须 严 格 遵守 国家 信息 安全 等 级 保护 要 求 。 
2) 云 计算 的 主要 特点 是 数据 和 服务 外 包 、 多 租户 、 虚 拟 化 等 。 用 户 端 本 身 不 存放 数据 和 
进行 数据 计算 ， 因 此 ， 云 计算 会 面临 特有 的 一 些 安全 问 题 或 安全 威胁 挑战。 kka: (D 云 计算 服 
务 模 式 导致 的 安全 问题 ， 用 户 失 去 对 物理 资源 的 直接 控制 ， 云 服 务 提供 商 的 信任 问题 ， 包 虚拟 
化 环境 下 的 技术 及 管理 问题 ， 资 源 共享 、 虚 拟 化 安全 漏洞 ， 色 云 计算 服务 模式 引发 的 安全 问 
题 ， 多 租户 的 安全 隔离 、 服 务 专业 化 引发 的 多 层 转 包 而 引起 的 安全 问题 等 。 

其 中 虚拟 化 安全 、 数 据 和 服务 外 包 、 多 租户 资源 安全 共享 和 隔离 是 云 计算 安全 有 别 于 传 
统 信息 安全 的 核心 所 在 。 


2.1.8” 云 安全 的 研究 现状 

从 2006 年 云 计算 概念 的 提出 发 展 至 今 ， 云 计算 经 历 了 定义 逐渐 清晰 、 应 用 逐渐 增多 和 产 
业 逐 渐 形 成 的 各 个 阶段 。 但 有 关 云 计算 安全 的 研究 还 处 于 起 步 阶段 ， 业 界 尚 未 形成 相关 标准 。 
目前 ， 主 要 有 如 下 三 种 类 型 的 组 织 或 人 员 对 其 进行 研究 : 

1. 非 营 利 机 构 

对 云 安全 研究 最 为 活跃 的 组 织 是 在 2009 年 RSA 大 会 上 宣布 成 立 的 一 个 非 营 利 性 组 织 云 
安全 联盟 (CSA)。 该 组 织 专 注 于 云 计算 的 安全 体系 及 安全 标准 等 领域 ， 其 宗 则 如 下 : 

1) 提供 用 户 和 供应 商 对 云 计算 必要 的 安全 需求 和 保证 书 的 同样 认识 水 平 。 

2) 促进 对 云 计 算 安全 最 佳 做 法 的 独立 研究 。 

3) 发 起 正确 使 用 云 计算 和 云 安全 解决 方案 的 宣传 和 教育 计划 。 

4) 创建 有 关 云 安全 保证 的 问题 和 方针 的 明细 表 。 
目前 ，CSA 已 获得 了 业界 如 Google, Microsoft 和 VMware 等 公司 和 组 织 的 广泛 认可 。 
至 今 ， 云 安全 联盟 已 完成 《 云 计 算 面 临 的 严重 威胁 》《 云 控制 矩阵 》《 关 键 领域 的 云 计算 
安全 指南 》 趾 等 研究 报告 ， 并 发 布 了 云 计算 安全 定义 。 这 些 报告 从 多 个 方面 强调 了 云 计算 安 
全 的 重要 性 、 保 证 安全 性 应 当 考 虑 的 问题 以 及 相应 的 解决 方案 ， 对 形成 云 安全 行业 规范 具有 重 
要 影响 。 

CSA 作为 业界 比较 认可 的 云 安全 研究 论坛 ， 在 2011 年 11 月 发 布 了 第 三 版 云 计算 服务 的 
安全 实践 手册 《 云 计 算 关 键 领域 安全 指南 》。 该 指南 从 架构 、 治 理 和 实施 3 个 部 分 、14 个 关键 
域 对 云 安全 进行 了 深入 阐述 ， 重 点 讨论 了 当 企 业 部 署 云 计算 系统 时 面临 的 安全 风险 并 且 给 出 相 
应 的 安全 建议 。 在 当前 尚 无 一 个 被 业界 广泛 认可 和 普遍 遵从 的 国际 性 云 安全 标准 的 形势 下 ， 该 
指南 是 一 份 重要 的 参考 文献 ， 对 业界 有 着 重大 的 影响 [4。CSA 与 HP 共同 列 出 了 云 计算 安全 
问题 的 七 个 方面 ， 具 体 如 下 : 

COD 云 计 算 滥 用 ”近年 来 越 来 越 多 的 网 络 犯罪 者 已 开始 通过 云端 服务 进行 不 法 行为 。 例 
如 云 计算 已 被 利用 来 提供 密码 破解 的 服务 ， 只 要 能 获取 系统 的 账号 密码 数据 文件 ， 并 将 其 中 的 
MDS 散 列 值 取 出 ， 通 过 现成 的 云端 服务 ， 即 可 分 析出 该 散 列 值 可 能 代表 的 密码 组 合 ， 进 而 取 
得 系统 内 部 的 任何 账号 密码 。 

(2) 共享 技术 漏洞 ”资源 共享 昌 可 节省 闲置 资源 的 浪费 ， 达 到 节能 目的 ， 但 同时 也 衍生 
出 数据 保密 的 问题 。 云 端 服 务 使 用 虚拟 化 的 技术 ， 将 物理 资源 同时 分 配给 多 个 用 户 共 享 ， 虽 然 
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每 一 位 使 用 者 都 是 使 用 独立 的 计算 空间 ， 但 若 其 物理 隔离 机 制 出 现 漏洞 ， 黑 客 便 可 以 通过 此 漏 
洞 读 取 其 内 存 或 者 存储 在 空间 中 的 数据 。 

(3) 内 鬼 难 防 “” 当 所 有 的 信息 服务 都 移 转 到 云端 空间 时 ， 管 理 的 责任 同时 也 部 分 移 转 到 
云端 服务 供应 商 身 上 。 因 此 ， 若 云端 服务 供应 商 内 部 存 有 居心 不 良 的 工作 人 员 ， 便 可 能 对 存放 
在 云端 服务 平台 的 信息 造成 危害 。 这 方面 的 风险 是 使 用 者 无 法 预测 的 。 

(D 账号 或 服务 支持 ” 云 服务 的 认证 机 制 主 要 是 通过 因特网 的 方式 ， 用 户 输 入 账号 密码 
来 进行 身份 确认 。 一 旦 用 户 账号 遭 到 窍 取 或 者 信息 传输 的 过 程 遭 到 攻击 重 设 ， 都 会 导致 第 三 方 
取代 合法 用 户 而 取得 该 系统 的 完整 控制 权 。 由 于 用 户 无 法 通过 重 设 物理 系统 来 进行 紧急 应 变 ， 
所 以 一 旦 账号 密码 外 泄 或 服务 被 挟持 ， 其 损害 程度 及 影响 范围 可 以 说 是 无 法 评估 的 。 

(5) 不 安全 的 应 用 程序 接口 ”用 户 使 用 特定 的 通信 接口 与 应 用 程序 访问 云端 服务 ， 因 
此 ， 当 通信 接口 或 是 应 用 程序 发 生 安全 漏洞 时 ， 都 会 影响 用 户 访问 服务 的 安全 ， 造 成 数据 在 未 
经 授权 的 状况 下 ， 被 第 三 方 访问 或 修改 。 

(6) 数据 丢失 和 泄露 ” 云 服务 供应 商 所 提供 的 安全 防护 机 制 ， 必 须要 能 确保 用 户 的 数据 
` 会 受到 未 经 授权 的 访问 。 若 发 生 数据 毁损 情况 时 ， 云 端 服 务 供应 商 必 须要 有 完善 的 数据 备份 
机 制 ， 才 能 降低 数据 遗失 的 风险 。 
(7) 未 知 的 风险 ”服务 透明 性 问题 使 用 户 仅 使 用 Web. 前 端 交互 界面 ， 并 不 知道 供应 商 使 
用 哪 种 平台 或 者 提供 哪些 安全 机 制 ， 换 言 之 ， 用 户 无 法 知晓 云 服务 提供 商 是 否 按 其 承诺 履行 ] 
服务 协议 。 另 外 ， 云 服务 随 着 信息 技术 的 进步 ， 也 在 不 断 地 改变 其 服务 形态 ， 所 以 未 知 的 困难 
以 及 可 预见 的 安全 问题 将 会 越 来 越 多 。 

美国 的 知名 市 场 研究 分 析 公 司 Gartner 在 2008 年 发 布 了 一 份 《 云 计算 安全 风险 评估 》 中 
研究 报告 。 该 报告 指出 云 计算 使 IT 行业 拥有 着 庞大 的 市 场 前 景 ， 但 是 云 计 算 服务 对 于 个 人 或 
者 企业 等 使 用 者 来 说 ， 面 临 着 特权 用 户 的 接 入 、 可 审查 性 、 数 据 位 置 、 数 据 隔离 、 数 据 恢 复 、 
调查 支持 以 及 长 期 生存 性 七 大 潜在 的 安全 风险 问题 加。 

2009 F, DC 发 布 的 一 项 调查 报告 表明 ， 云 服务 面临 安全 性 、 稳 定性 和 性 能 问题 三 大 挑 
战 。 其 中 安全 性 是 最 受 关注 的 问题 中。 该 三 大 挑战 排名 与 IDC 于 2008 年 进行 的 云 计算 服务 调 
查 结论 完全 一 致 。2009 年 3 月 年 美国 信息 系统 审计 和 控制 协会 ISACA) 发 布 了 《Cloud 
Computing: Business Benefits with Security, Governance and Assurance Perspectives) 053。 该 报告 
讨论 了 云 计 算 系 统 的 部 署 为 系统 安全 所 带 来 的 优势 和 挑战 ， 分 析 了 云 计 算 系 统 的 安全 风险 和 相 
应 的 安全 建议 。 
欧洲 网 络 与 信息 安全 局 (European Network and Information Security Agency; ENISA) 在 
云 计 算 安全 方面 的 主要 研究 成 果 是 从 企业 的 角度 出 发 分 析 云 计算 可 能 带 来 的 好 处 以 及 安全 方面 
的 风险 。ENISA 在 2009 年 已 经 提出 一 份 名 为 云端 服务 风险 评估 的 报告 ， 此 份 报告 也 被 推出 业 
界 第 一 个 云端 服务 风险 标准 的 云端 安全 联盟 所 引用 。 这 份 报告 里 面 清楚 定义 了 35 个 云端 计算 
架构 下 的 风险 、53 个 弱点 、23 个 可 能 受 影响 的 资产 、 各 个 资产 重要 性 还 有 各 风险 的 发 生 率 和 
影响 ， 并 和 过 去 传统 信息 系统 架构 做 比较 。2010 年 ，ENISA 发 布 的 云 计 算 安 全 白皮书 《Cloud 
Computing Information Assurance Framework》59 指 出 : 在 同样 的 投资 额度 下 ， 云 计算 将 安全 防 
护 资源 集中 和 统一 管理 ， 这 使 得 访问 控制 和 安全 控制 流程 更 加 流畅 ， 比 各 个 企业 独立 维护 的 安 
全 防护 系统 更 加 全 面 和 稳定 ， 但 是 云 计算 系统 的 使 用 也 会 带 来 很 多 安全 问题 ， 如 数据 处 理 和 保 
护 的 不 透明 性 。 
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2. 云 服 务 提供 商 


许多 云 服务 提供 商 如 Amazon、IBM 和 Microsoft 等 纷纷 根据 自己 云 平台 的 特性 ， 














提出 相 






































应 的 云 安 全 解决 方案 和 安全 策略 。 主 要 方法 包括 身份 认证 、 安 全 审查 、 数 据 加 密 及 系统 见 余 等 

















手段 来 提高 云 计算 平台 的 稳健 性 、 可 用 性 和 用 户 数 据 的 安全 性 。 
放 两 步 认证 机 制 来 控制 信 ， 








全 球 

















RU 















































例如 2011 Æ, Google 公司 问 


问 ， 以 便 提高 云 计 算 的 安全 性 。Microsoft 的 云 计算 平台 





Azure 配置 了 一 种 称 为 “Sydney” 的 安全 计划 ， 帮 助 企业 用 户 在 服务 器 和 Azure 云 之 间 交 换 数 





据 ， 以 解决 虚拟 化 、 多 租户 环境 中 的 安全 性 。EMC、Intel 和 VMware 等 公司 联合 宣 
念 证 明 系 统 。 该 项 目 将 Intel 的 可 信和 执行 技 
RSA 的 enVision 安全 信息 与 事件 管理 平台 技术 相 结合 ， 构 建 


“可 信 云 体系 架构 ”的 合作 项 目 
术 、VMware 的 虚拟 隔离 技术 、 
了 一 种 从 下 至 上 值得 信赖 的 多 租户 服务 器 集群 。 












































权 访 问 等 。 





证 技术 对 共享 商业 敏感 数据 的 


3. 学 术 研 究 





针对 云 计算 面临 的 安全 挑战 ， 
(1) 基础 设施 安全 
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并 提出 了 一 个 相 
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AEn 








设施 














的 威胁 和 攻击 都 是 针对 基 而 
性 。 在 他 们 的 研究 中 ，1 
他 们 在 云 基础 设施 ; 























设施 月 





























， 即 同 











盗 取信 息 。 除 了 云 基础 设施 的 脆弱 忆 


风险 。 

















WH 








ZUH 
] 户 加 以 认证 与 访问 控制 ， 阻 止 非法 








Hadoop 引入 Kerberos 安全 认 
]P* Hadoop 集群 的 非 授 






































国内 外 安全 专家 纷纷 对 云 计算 及 其 安全 性 展开 了 研究 。 

服务 是 新 兴 的 云 计算 时 代 的 重要 服务 之 一 。 然 而 ， 许 多 前 
民 务 。 参 考 文献 [17] 揭 示 了 在 第 三 方 云 计算 窃取 信息 的 可 能 
也 们 发 现 了 Amazon 映射 计算 服务 EC2 实例 的 几 个 规则 。 这 些 规 则 使 
计算 机 上 成 功 发 现 两 个 驻 
E, WRA RLRE Amazon 机 器 镜像 AMI 也 存在 隐私 
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留 的 实例 ， 进 而 通过 虚拟 机 漏洞 











为 了 应 对 这 些 威胁 ， 研 究 人 员 从 工业 界 和 学 术 界 已 经 提出 了 多 种 解决 方案 。 比 如 ，IBM 











公司 的 看 
中 TPM 的 使 用 
































计算 安全 体系 与 技术 框架 。 
务 体系 、 云 计算 安全 标准 及 测 记 

(2) 存储 安全 
性 以 及 访问 控制 。 为 了 保护 云 存储 
Au zs fe SERIE. JEU] 
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究 人 员 为 Xen 虚拟 化 环境 提出 并 实现 了 虚拟 可 信 平 台 模 块 (TPM)， 来 探讨 在 云 环 境 














到 内 外 研究 学 者 和 云 计 算 服 务 提供 商 也 提出 了 自己 的 安全 框架 与 技术 标准 。 比 如 针对 云 

















冯 登 国 等 给 出 了 一 种 云 计算 安全 框架 "9。 该 框架 包含 了 云 计算 服 








体系 两 大 部 分 ， 可 以 为 

















许多 云 安全 丰 
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究 是 以 数据 为 9 
中 外 包 数 据 的 保密 性 ， 
| 实现 了 一 个 加 密云 存储 系统 CS2US, 

















| 户 的 安全 目标 提供 技术 支撑 。 























FP 心 的 安全 性 研究 ， 其 重点 是 机 密 性 、 完 整 








参考 文献 [18] 提 出 了 一 个 通过 密码 技 
该 系统 文 持 对 密 文 的 








关键 字 搜 索 。 参 考 文 献 [20] 提 出 了 双 层 加 密 思 想 ， 


加 密 保 护 数据 机 密 性 ， 外 层 加 密 用 于 访问 控制 
数据 安全 性 的 数据 加 密 工具 。 例 如 ， 参 考 文献 [21] 提 
F 加 密 数 据 的 搜索 了 

















具 ， 参 考 文献 [22,23,24] 研 究 了 基 卫 
为 了 文 持 在 第 三 方 云 存储 的 外 包 数 据 存储 完整 























实现 外 包 数 据 的 保密 性 和 访问 控 币 
目的 。 此 外 ， 许 多 研究 人 员 看 





L.X 








c— 


， 即 内 层 
制 和 开发 了 服务 于 
共 了 一 个 对 加 密 数据 进行 审计 的 实用 工 
H, 


















































生 检查 ， 参 考 文献 [25] 中 开发 了 























个 基于 证 











明 的 云 存 储 系统 CloudProof。 它 文 持 客户 进行 数据 的 完整 性 验证 、 写 操作 串 行 化 和 保持 数据 的 




















新 鲜 度 。Dimitrios Zissis 和 Dimitrios Lekkas 提出 了 一 种 结合 公 钥 基础 设施 (PKI)、 轻 量 目 录 











访问 协议 (LDAP) 和 单 点 登录 (SSO) 等 技术 的 云 计算 解 决 方案 5。 该 方案 引入 可 信 的 第 三 











方 提供 安全 认 详 




















民 据 云 计 





Cs 并 





2009 年 ， 











算 系 统 分 层 的 特 怕 
务 和 软件 即 服务 提供 安全 认证 。 





























E， 分 别 给 物理 层 、 基 础 设施 即 服务 、 平 台 即 服 




















IBM f£ 


ALUAJTA ] 





种 全 同 态 加 密 方案 ， 该 方案 使 得 云 应 用 在 不 解密 数据 的 状 


47 


态 下 处 理 数据 上 。 若 该 项 技术 进入 实用 化 阶段 ， 就 可 以 解决 云 中 的 数据 在 整个 4 

















加 审问 题 。 


22 云 计算 面临 的 安全 问题 














E 命 周期 中 的 


云 计 算 所 面临 的 问题 很 多 ， 其 中 由 云 计算 所 特有 的 数据 和 服务 外 包 、 多 租户 及 虚拟 化 三 





2.2.1 数据 安全 问题 


人 


为 了 实现 资源 的 统一 管理 与 调度 、 
首 对 用 户 提供 网 络 访问 接口 。 这 些 集 ， 


























, 





户 在 地 域 上 的 分 散 性 和 物 到 
多 个 大 型 云 数 据 中 心 。 用 户 通 过 使 月 
基础 设施 的 细节 。 
在 云 计算 环境 下 ， 绝 大 多 数 应 用 软件 
有 务 的 用 户 对 其 所 

















心 ， 





而 最 终 享受 云 月 
管理 和 控制 ， 即 所 有 应 用 程序 的 管理 和 净 
成 。 这 也 是 数据 和 服务 外 包 不 可 回避 的 问题 。 
云 计算 的 这 一 特点 在 为 用 户 提供 便利 的 同 四 


































































































大 特性 所 引起 的 安全 性 问题 最 为 突出 。 























降低 运营 成 本 ， 云 服务 提供 
的 资源 汇集 于 云 计算 的 心 
集中 规模 上 的 一 些 限 种 


商 将 资源 集中 于 同一 平 
脏 即 云 数据 中 心 。 由 于 用 
1， 大 型 云 服 务 提 供 商 需 要 在 世界 范围 内 建立 
次 件 或 者 平台 享受 服务 ， 不 需要 了 解 云 



























































和 数据 信息 都 被 转移 到 云 
操作 和 产生 的 数据 的 物理 存在 状 ; 
乎 不 可 能 通过 Sm uuu 






























































可 控 性 ， 而 导致 月 











222 存储 安全 问题 


标 ， 存 储 服务 的 访问 控 伟 
监控 特定 会 话 。 同 时 ， 加 密 的 数据 
存储 安全 不 仅 可 以 防止 由 于 数据 和 其 他 物 


级 别 3 


























昌 户 对 存储 在 云 中 数据 的 安全 性 产 
































存储 安全 的 主要 目的 是 保护 云 




















I 机 制 应 具备 报 






































问 所 有 数据 的 管理 员 的 敏感 信息 。 
2.2.3 ”虚拟 化 安全 问题 


化 环境 下 的 多 租户 应 用 模式 。 
为 迫切 。 

由 于 虚拟 化 技术 的 引入 ， 虚 拟 化 技术 会 
虚拟 化 软件 





级 别 的 虚拟 机 之 间 进 行 无 颖 合并、 如 何 应 对 数据 所 有 权 和 管理 权 分 离 的 问题 、 如 何 






































虚拟 化 使 得 传统 物理 安全 边界 逐渐 缺失 ， 



























































供 商 的 云 数 据 中 
完全 未 知 的 ， 用 户 几 
对 自己 保存 在 云 中 的 将 据 进行 
需要 委托 给 云 服务 提供 商 来 完 








于 用 户 对 存储 在 云 中 数据 管理 的 不 


pe d HM Pu e e 
人 























m 法 导致 的 非法 泄露 而 且 








往 基 于 安全 域 的 防护 机 制 









































] 户 的 信息 安全 和 数据 隔 f 


























留 问题 等 都 是 新 出 现 的 安全 问题 。 
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基于 虚拟 化 技术 的 云 计 算 引 入 的 风险 3 
拟 服务 器 的 安全 两 个 方面。 












































带 来 所 有 以 客居 方式 运行 操 人 
特有 的 安全 威胁 。 例 如 ， 如 何 预 防 虚 拟 机 之 间 的 相互 攻击 和 盲 





还 保护 了 可 以 访 





已 经 难以 满足 虚拟 
里 资源 环境 下 显得 更 

















FE 系统 的 安全 问题 和 
可 在 不 同安 全 











Hn 























处 理 数 据 残 








日 虚 拟 化 技术 的 虚 


2.2.4 隐私 保护 问题 














云 计算 中 的 数据 比 在 传统 网 络 环境 中 更 加 容易 。 威 

















胁 可 能 来 自 于 云 ! 
对 云 管理 者 而 言 ， 




















， 也 可 能 来 自 于 云 外 。 


也 们 可 以 轻易 地 利用 其 技术 优势 获取 云 中 任何 用 户 的 数据 信息 。 





同 
























































时 ， 大 量 用 户 共享 同一 平台 也 为 恶意 攻击 者 降低 了 击破 数据 保护 壁垒 的 难度 ， 提 供 了 更 多 获取 





他 人 信息 的 机 会 。 








从 外 部 来 看 ， 云 环境 中 数据 复杂 的 传输 流程 也 使 得 数据 受到 威胁 的 环节 数量 显著 增加 。 


因 





此 ， 如 何 保 记 
律 的 进一步 完 





es 
SE 
ro 





2.2.$” 云 平台 安全 问题 














服务 可 





的 用 户 群 ， 如 果 云 平台 发 生 服务 不 可 


造成 服务 中 断 的 威胁 可 能 来 源 于 云 系统 





























云 平台 











服务 可 月 








将 会 明显 超过 








FE 存 放 在 云 数据 中 心 的 数据 隐私 不 被 非法 利用 ， 不 仪 需要 技术 的 改进 ， 也 需要 法 


] 性 问题 是 云 计算 的 一 个 核心 安全 问题 ， 云 























托管 的 数据 和 服务 来 源 于 数量 庞大 





生 的 外 部 威胁 主要 是 拒绝 服务 攻击 威胁 ， 由 


传统 的 应 用 环境 。 





























全 性 的 解决 方案 ， 但 只 外 








平台 的 不 安全 状态 。 
22.6 ”去 应 用 安全 问题 





由 于 云 计 算 基 而 


























在 云端 的 应 











设施 的 灵活 性 和 开放 性 ， 任 何 终端 用 户 都 可 以 进行 接 入 ， 因 
程序 的 处 理 是 一 个 非常 大 的 挑战 。 另 外 ， 公 众 可 获得 性 以 及 


缺少 控制 ， 也 为 云 应 用 程序 的 














造成 的 影响 将 远 远 超出 传统 信息 系统 。 
内 部 ， 也 可 能 是 来 源 于 外 部 。 内 部 的 威胁 主要 是 





问题 ， 

















身 的 可 靠 性 问题 ， 如 发 生 服务 器 宕 机 和 数据 大 规模 丢失 等 都 会 造成 云 服务 不 可 用 。 云 
平台 的 可 靠 性 可 以 通过 容 灾 备 份 技术 得 以 加 强 。 
Ht 








拒绝 服务 攻击 造成 的 后 果 和 破坏 性 























由 于 云 计算 与 传统 信息 系统 不 同 ， 如 果 只 是 单纯 地 把 以 往 的 安全 技术 不 加 修改 地 直接 应 
用 到 云 计算 系统 上 ， 是 无 法 有 效 保证 云 计 算 系 统 安全 的 。 虽 然 目 前 已 经 存在 一 些 提高 云 计算 安 
零星 地 解决 特定 云 平 台 的 特定 问题 ， 



























































-改变 目 





还 不 能 从 根本 





前 云 计算 














此 对 于 运行 
] 户 对 计算 基础 设施 









































安全 带 来 了 很 大 的 挑战 。 




















输 到 云端 ，| 





云 来 提供 服务 。 




















云 应 用 的 安全 问题 实质 上 涉及 整个 网 络 体系 的 安全 性 问题 ， 但 是 又 不 同 于 传统 网 络 。 因 


在 云 计算 环境 下 ， 所 有 的 应 用 和 操作 都 是 在 网 络 上 进行 的 。 用 户 将 自己 的 数据 从 网 络 伟 















































此 ， 云 服务 提供 商 在 部 署 应 用 程序 时 应 当 充 分 考虑 可 能 引 











发 的 安全 风险 。 














对 于 云 月 








昌 户 而 言 ， 应 提高 安全 意识 ， 采 取 必 要 措施 ， 以 保证 云 终端 


cr 


和 安全 


























. fn HP 
保 其 安全 性 。 




















可 以 在 处 理 敏感 数据 的 应 用 程序 与 服务 器 之 间 通 信 时 采 


2.3 


Wy 








险 、 策 略 和 组 织 





上 共 商 所 提供 给 

















] 加 密 技术 ， 以 确保 其 安全 怕 



































云 安全 问题 的 深层 原因 


鉴于 云 计 算 的 复杂 性 ， 它 的 安全 问题 应 该 是 一 个 涵盖 技术 、 管 理 ， 甚 至 法 律 和 法 规 的 综 
合体 。 根 据 云 服务 提 











] 户 服务 的 来 源 可 以 将 风险 划分 为 如 下 三 类 ; 技术 上 的 风 






































管理 中 的 风险 、 法 律 上 的 风险 。 
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2.3.1 技术 上 的 风险 
云 数据 中 心 的 服务 器 集群 是 由 极其 廉价 的 计算 机 构成 ， 如 使 用 x86 架构 的 服务 器 ， 节 点 









































之 间 的 互联 网 络 通常 使 用 千 兆 以太 网 ， 这 样 大 大 降低 了 成 本 ， 因 此 ， 云 计算 具有 前 所 未 有 的 性 























能 价格 比 。 对 于 规模 达到 几 十 万 甚至 百 万 台 计算 机 的 Amazon 和 Google 云 计算 ， 其 网 络 、 存 
储 和 管理 成 本 较 之 前 至 少 可 以 降低 50% 一 70%。 因 此 ， 云 计算 需要 引入 一 些 特 定 的 或 新 的 技 
术 ， 如 虚拟 化 技术 。 但 随 之 而 来 的 问题 是 这 些 新 技术 也 会 带 来 一 些 风险 。 


















































技术 上 的 风险 主要 是 指 云 服务 的 构建 和 功能 缺陷 所 带 来 的 风险 。 它 主要 来 自 于 云 内 部 处 
里 风险 和 外 部 接口 风险 。 








1. 不 安全 API 的 风险 

















应 用 程序 编程 接口 “API) 是 供 云 用 户 访问 他 们 存储 在 云 中 的 数据 。 在 这 些 接口 或 用 于 运 





























行 软件 中 的 任何 错误 或 故障 都 可 能 会 导致 用 户 数据 的 泄露 。 比 如 当 一 个 软件 故障 影响 到 用 户 的 





访问 数据 策略 时 ， 


或 实施 的 安全 措施 。 无 论 如 何 ，API 都 需要 安全 保护 免 受 意外 和 恶意 企图 绕 过 API 及 其 安全 措 


施 的 行为 。 




















有 可 能 导致 将 用 户 数据 泄露 给 未 经 授权 的 实体 。 威 胁 也 可 能 来 源 于 设计 不 当 










































































对 于 云 服 务 提供 商 所 提供 的 服务 和 资源 ， 用 户 只 能 通过 因特网 或 者 其 他 间接 方式 进行 访 





























问 ， 而 远程 访问 和 浏览 器 的 接口 漏洞 也 会 引入 安全 风险 。 
2. 共享 技术 潜在 风险 








云 计算 的 虚拟 化 架构 为 IaaS 云 服务 提供 商 提供 了 将 单个 服务 器 虚拟 化 为 多 个 虚拟 机 的 
能 力 。 这 种 架构 使 得 云 更 脆弱 。 攻 击 者 可 以 利用 这 一 结构 来 映射 云 的 内 部 结构 ， 以 便 确 定 两 









































个 虚拟 机 是 否 运 行 在 相同 的 物理 机 上 。 此 外 ， 攻 击 者 可 以 在 云 中 添加 一 个 虚拟 机 ， 以 便 它 与 

















其 他 虚拟 机 共享 同一 物理 机 。 一 旦 攻击 者 能 够 与 其 他 虚拟 机 共享 同一 物理 机 ， 他 便 能 够 发 起 





非法 的 访问 。 





3. 云 计算 滥用 的 风险 


IaaS 和 PaaS 















































模式 为 用 户 提供 了 几乎 无 限 的 计算 、 网 络 和 存储 资源 ， 可 以 说 只 要 用 户 拥有 






































足够 的 金钱 为 使 用 这 些 资源 付费 ， 用 户 就 可 以 立即 使 用 这 些 资源 。 然 而 ， 由 于 云 服务 提 供 商 缺 


















































乏 必 要 的 审查 和 监管 机 制 ， 一 些 恶意 用 户 可 以 使 用 这 些 资源 进行 违法 活动 ， 如 暴力 破解 密码 、 
将 云 平台 作为 发 动 分 布 式 拒绝 服务 (DDoS ) 攻击 的 源头 、 利 用 云 计算 控制 僵尸 网 络 和 托管 非 




















法 数据 等 。 





















































4. 不 安全 或 无 效 的 数据 删除 


云 计算 环境 














FP 的 用 户 数量 非常 庞大 ， 备 份 每 个 用 户 的 所 有 数据 所 需 的 人 硬盘 空间 容量 非常 

















惊人 ， 且 众多 用 户 的 数据 在 云 环境 中 混合 存储 。 缺 乏 有 效 的 数据 删除 机 制 ， 将 导致 用 户 数据 丢 
失 ， 严 重 时 可 能 泄露 个 人 隐私 或 商业 机 密 。 





5. 传输 中 的 数据 截获 





























云 计 算 环 境 是 一 种 分 布 式 架构 ， 因 而 相 比 于 传统 架构 具有 更 多 的 数据 传输 路 径 ， 必 须 保 








6. 隔离 故障 


证 传输 过 程 的 安全 性 ， 以 避免 嗅 探 攻击 等 威胁 。 














由 于 云 计算 的 计算 能 力 、 存 储 能 力 和 网 络 被 多 用 户 共享 ， 隔 离 故障 将 导致 云 环境 中 的 存 
储 、 内 存 和 路 由 隔离 机 制 失效 ， 最 终 使 得 用 户 和 云 服务 供应 商 丢失 敏 感 的 数据 、 服 务 中 断 和 名 
































RNE SZFE Ag 
誉 受 损 等 。 


50 


7. 资源 耗 尽 

由 于 云 服务 供应 商 本 身 没有 提供 充足 的 资源 、 缺 乏 有 效 资 源 预测 机 制 或 资源 使 用 率 模 型 
的 不 精确 ， 使 得 公共 资源 不 能 进行 合理 分 配 和 使 用 ， 将 影响 服务 的 可 用 性 并 且 带 来 经 济 和 声誉 
的 损失 等 。 同 样 ， 如 果 拥 有 过 多 的 资源 ， 不 能 进行 有 效 的 管理 和 利用 将 带 来 经 济 损失 。 


2.3.2 ”策略 和 组 织 管理 中 的 风险 

策略 和 组 织 管理 中 的 风险 是 指 云 服务 供应 商 在 部 署 云 服务 过 程 中 的 不 完备 所 带 来 的 风险 。 

在 云 数 据 安全 保证 上 ， 从 理论 上 来 讲 技 术 是 完美 的 ， 但 实际 上 仅 靠 技术 并 不 能 完全 保证 
其 安全 ， 还 需要 制度 上 的 执行 以 及 管理 上 的 支撑 。 换 言 之 ， 云 计算 的 安全 运行 离 不 开 有 效 管 
里 ， 管 理 漏洞 会 造成 云 计 算 安 全 失效 。 减 少 或 者 避免 策略 和 组 织 管理 中 的 风险 问题 可 以 更 好 地 
保证 提供 安全 的 云 计 算 服 务 。 云 计算 面临 着 以 下 的 策略 和 组 织 管理 方面 的 风险 : 

1. 锁定 风险 

用 户 不 能 方便 地 迁移 数据 /服务 到 其 他 云 服务 提供 商 ， 或 迁 回 本 地 。 

2. 治理 丧失 的 风险 

在 使 用 云 计算 基础 架构 ， 虽 然 云 供应 商 和 客户 之 间 有 SLA 协议 ， 但 这 些 SLA 协议 并 不 提 
供 明 确 的 承诺 ， 确 保 云 服 务 提供 商 考 虑 此 类 问题 。 这 将 导致 安全 防御 的 漏洞 ， 从 而 导致 治理 和 
控制 损失 。 这 种 损失 会 严重 影响 云 服务 商 完成 其 使 命 和 目标 的 策略 和 能 

3. 合 规 挑战 

由 于 云 服 务 提 供 商 不 能 提供 有 效 证 明 来 说 明 其 服务 遵从 相关 的 规定 ， 以 及 云 服 务 提 供 商 
不 允许 用 户 对 其 进行 审计 ， 而 使 得 部 分 服务 无 法 达到 合 规 要 求 。 

4. 隔离 故障 

云 计 算 的 多 租户 和 资源 共享 特点 ， 使 计算 能 力 、 存 储 和 网 络 被 多 个 用 户 共享 。 这 可 能 导 
致 包括 分 离 存储 机 制 、 内 存 和 路 由 失败 ， 甚 至 共享 基础 设施 的 不 同 租户 失去 商业 声誉 的 风险 。 
即 由 于 其 他 用 户 的 恶意 活动 使 得 多 租户 中 的 无 境 用 户 遭 受 影 响 ， 如 恶意 攻击 使 得 包括 攻击 者 及 
无 辜 者 的 IP 地 址 段 被 阻塞 。 

5. 云 服务 终止 或 失效 

由 于 云 服 务 提供 商 破产 或 短期 内 停止 提供 服务 ， 云 用 户 的 业务 遭受 严重 影响 ， 可 能 会 导 
致 服务 交付 性 能 损失 或 恶化 ， 以 及 投资 的 损失 。 此 外 ， 在 服务 外 包 给 云 服务 提供 商 的 失败 ， 有 
可 能 使 云 用 户 对 它 的 客户 和 员工 履行 其 职责 和 义务 的 能 力 受 到 影响 。 

6. ZAER 

密 钥 管 理 不 善 可 能 导致 密 钥 或 密码 被 恶意 的 第 三 方 获取 。 这 有 可 能 导致 未 经 授权 而 使 用 
身份 验证 和 数字 签名 。 

7. 供应 链 故障 


























































































































































































































































































































































































































































































































































































































































































































由 于 云 计 算 提供 商 将 其 生产 链 中 的 部 分 任务 外 包 给 第 三 方 ， 其 整体 安全 性 将 因此 受到 第 
三 方 的 影响 。 其 中 任 一 环节 安全 性 的 失效 ， 将 影响 整个 云 服务 的 可 用 性 以 及 数据 的 机 密 性 、 完 












































整 性 和 可 用 性 等 。 
8. 特权 问题 
由 于 云 计算 将 很 多 用 户 聚 集 在 一 个 管理 域 中 ， 共 享 同 一 平台 。 这 就 为 安全 埋 下 隐患 。 其 
中 ， 云 服务 提供 商 内 部 管理 人 员 所 拥有 的 特权 对 用 户 数 据 的 隐私 具有 严重 威胁 ， 这 就 需要 提供 
有 效 的 管理 机 制 来 防止 特权 管理 人 员 利 用 职权 之 便 穷 取 用 户 私密 数据 或 对 其 造成 破坏 。 随 着 云 
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服务 使 用 量 的 增加 ， 云 服务 提供 商 内 部 人 员 出 现 团体 犯罪 的 概率 也 在 增加 ， 且 该 现象 已 经 在 金 
融 服 务 行业 中 得 到 证 实 。 

针对 云 内 部 的 恶意 人 员 ， 除 了 通过 技术 的 手段 加 强 数 据 操作 的 日 志 审计 之 外 ， 严 格 的 管 
里 制度 和 不 定期 的 安全 检查 也 十 分 必要 。 云 计算 服务 供应 商 有 必要 对 工作 人 员 的 背景 进行 调查 
并 制订 相应 的 规章 制度 以 避免 内 部 人 员 作 案 ， 并 保证 系统 具备 足够 的 安全 操作 的 日 志 审计 能 
力 ， 在 保证 用 户 数据 安全 的 前 提 下 ， 满 足 第 三 方 审计 单位 的 合 规 性 审计 要 求 。 

技术 体系 结构 设计 再 合理 ， 无 制度 保障 终 将 会 带 来 破坏 与 损失 ;制订 了 规章 制度 而 将 制 














ERZ m, H 
严格 确 
事件 是 何 日 
事件 等 。 


2.3.3 ”法 律 上 的 风险 
































对 发 生 的 、 事 件 发 生 的 原 











结果 也 将 会 破坏 或 泄露 数据 。 
保 制度 的 可 执行 性 。 同 时 ， 在 各 项 管 





A 云 计 算 的 名 字 给 人 的 印象 是 


因此 ， 












































在 制订 了 相关 规章 制度 的 前 提 下 ， 
LE 措施 得 到 保证 后 ， 发 生 安 全 事件 后 ， 必 须 追 济 
因 是 什么 、 造 成 的 损失 如 何 补救 、 如 何 预防 再 次 发 生 此 类 














还 需 

















中 的 用 户 数据 在 不 定 上 


的 位 置 ， 但 实际 上 ， 存 储 在 云 数 



































据 中 心 上 的 用 户 数据 在 物理 


如 , 《美国 爱国 者 法 案 》 人 允许 美 






































上 依然 是 存储 在 
国政 





条 访问 任何 一 
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个 特定 的 国家 ， 
十 算 机 上 存储 的 数据 ， 这 可 能 使 并 不 想 将 








因此 要 受到 当地 法 规 的 约束 。 例 


























数据 存放 到 美国 的 用 户 受 至 




















I 隐私 方面 





的 侵害 。 因 此 ， 











要 应 对 云 计算 带 来 的 安全 挑战 ， 不 仅 需要 
































从 技术 上 为 云 计算 系统 和 每 个 

















善 ， 明 确 服务 提供 商 和 

流动 带 来 的 法 律 适用 性 
法 律 上 的 风险 是 指 

定 的 风险 。 针 对 法 律 方 

问题 。 
云 计 算 的 法 律 风险 主要 是 地 域 
1. 隐私 保护 
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风险 。 
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人 








iJ 问题 ， 
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JP SKAPERNE, Xen ENARA E E 





用户 之 间 的 责任 和 权利 ， 对 用 户 个 人 


云 服务 提供 商 声明 的 SLA 协议 以 及 
需要 云 服务 提供 商 尽量 规避 用 户 数据 的 使 用 可 能 产生 的 法 律 











言 息 进 行 有 效 保护 ， 防 止 数 据 跨 境 














服务 内 容 在 法 律 意 义 上 存在 违反 规 



































生 的 问题 ， 但 还 有 








他 风 




















险 问 题 。 



















































































由 于 法 律 传讯 和 民事 诉讼 等 因素 使 得 物理 设备 被 没收 ， 将 导致 多 租户 中 无 境 用 户 存储 的 
内 容 遭 受 强制 检查 和 泄露 的 风险 。 

2. 管辖 变更 风险 

许多 政府 制订 较 严 格 的 法 律 ， 禁 止 敏感 数据 存储 于 国外 实体 服务 器 中 ， 违 法 者 将 处 以 重 
j， 因 此 任何 组 织 若 要 使 用 云 计 算 ， 且 将 敏感 数据 存储 于 云端 中 ， 必 须 证 明 云 服务 提供 者 并 未 
将 该 数据 存储 在 国外 的 服务 器 中 。 另 外 ， 用 户 的 数据 可 能 存储 于 全 球 范围 内 多 个 国家 的 数据 中 
心 ， 如 果 其 中 部 分 数据 存储 于 没有 法 律 保 障 的 国家 或 地 区 将 受到 很 大 的 威胁 ， 可 能 被 非法 没收 
并 被 公开 。 





3. 数据 保护 风险 








对 于 云 用 户 而 言 ， 因 


HERFRA 

















为 不 能 有 效 检查 云 服 务 提 作 











t 商 的 数据 处 理 过 程 ， 从 而 不 能 确保 该 过 























Uia 


4. 许可 风险 


由 于 云 环 境 不 同 于 传统 的 主机 环境 ， 必 须 


| 损害 。 


Z 


开发 商 的 利益 都 将 受 3 





T 





TK 
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规 与 合法 。 对 于 云 服务 提供 商 而 言 ， 则 可 能 





判 订 合理 























接受 并 存储 用 户 非 法 收集 的 数据 。 





的 软件 授权 和 检测 机 制 ， 否 则 云 用 户 


24 云 安 全 天 键 技术 


云 安 全 主要 涉及 基础 设施 安全 、 虚 拟 化 安全 、 数 据 安全 、 身 份 和 访问 管理 安全 、 应 用 安 
全 等 方面 。 


2.4.1 虚拟 化 安全 

虚拟 化 是 构建 云 计算 环境 的 关键 ,使 用 虚拟 技术 的 云 计 算 平台 上 的 云 架构 提供 者 必须 问 
其 客户 提供 安全 性 和 隔离 保证 。 对 某 个 Hypervisor 的 攻击 可 以 波及 其 所 支撑 的 所 有 虚拟 机 ， 威 
胁 云 计算 环 境 的 安全 。 上 有 具体 来 讲 ， 服 务 器 虚拟 化 、 存 储 虚 拟 化 和 网 络 虚 拟 化 的 安全 问题 对 云 计 
算 系统 安全 来 说 至 关 重 要 。 

实现 服务 器 虚拟 化 的 安全 ， 就 要 建立 包括 虚拟 机 安全 隔离 、 访 问 控制 、 恶 意 虚 拟 机 防护 
和 虚拟 机 资源 限制 等 在 内 的 安全 保护 体系 ， 并 不 断 完 善 。 
保障 存储 虚拟 化 安全 ， 需 要 提供 设备 元 余 功能 和 数据 存储 的 元 余 保护 。 
对 于 虚拟 化 网 络 ， 则 需要 采用 合理 按 需 划 分 虚拟 组 、 控 制 数据 的 双向 流量 、 设 置 安全 访 
问 控制 策略 等 手段 来 构建 虚拟 化 网 络 安全 防护 体系 。 


2.4.2 ”数据 安全 
角 保 用 户 数 据 的 机 密 性 、 完 整 性 和 可 用 性 是 云 计 算 安 全 的 核心 。 针 对 数据 安全 的 解决 方 
案 通常 是 数据 加 密 和 访问 控制 机 制 。 采 用 更 加 有 效 的 完整 性 验证 算法 是 保证 数据 完整 性 的 重 
点 。 副 本 技术 则 是 解决 数据 可 用 性 的 常用 手段 。 在 数据 隔离 保护 中 ， 解 决 方案 主要 有 数据 隔 
离 、 访 问 控制 机 制 和 数据 安全 保护 机 制 等 。 

云 数据 中 心 内 部 管理 员 的 特权 模式 对 用 户 数 据 隐私 造成 严重 威胁 。 为 防止 提供 商 对 用 户 
数据 的 错误 使 用 ， 需 要 采用 符合 云 计 算 环境 的 特殊 加 密 和 管理 方式 。 比 如 ， 参 考 文献 [28] 提 出 
的 全 同 态 加 密 机 制 ， 参 考 文 献 [29] 提 出 的 利用 基于 环 和 组 签名 的 加 密 方法 实现 用 户 数据 的 匿名 
存储 。 













































































































































































































































































































































































目前 ， 如 何 做 好 数据 的 隔离 和 保密 仍然 是 一 个 很 大 的 问题 ， 这 些 技术 在 云 计算 平台 下 如 
何 发 挥 作用 ， 是 否 像 在 传统 环境 下 那样 有 效 仍然 有 待 进一步 研究 。 


2.4.3 身份 认证 和 访问 管理 

身份 认证 和 访问 管理 是 一 套 业 务 处 理 流程 ， 是 一 个 支持 数字 身份 管理 与 资源 访问 管理 、 
审计 的 基础 结构 。 
身份 认证 主要 是 指 在 用 户 访 问 资 源 和 使 用 系统 服务 时 ， 系 统 确认 用 户 身份 的 真实 性 、 合 
法 性 和 唯一 性 的 过 程 。 在 远程 系统 接 入 的 时 候 ， 用 户 必 须 获得 一 定 的 接 入 权限 ， 最 常用 的 就 是 
基于 口令 的 身份 认证 。 在 基于 口令 的 身份 认证 协议 中 ， 每 个 用 户 必须 在 认证 前 先 向 系统 注册 ， 
进而 系统 保留 其 用 户 的 注册 信息 ， 当 用 户 使 用 某 种 安全 的 通信 信道 与 系统 建立 连接 请 求 身 份 认 
证 时 ， 用 户 向 系统 传输 口令 信息 ， 服 务 器 端 根 据 上 传 的 口令 信息 与 服务 器 上 已 保存 的 信息 进行 
匹配 ， 若 匹配 成 功 则 认证 通过 。 

对 云 服 务 来 讲 ， 双 癌 认 证 是 云 计算 中 防止 用 户 数据 被 非法 访问 的 重要 机 制 。 一 方面 ， 如 
果 云 服务 提供 商 不 对 用 户 进 行 严 格 的 身份 认证 和 访问 管理 ， 就 会 给 攻击 者 以 可 乘 之 机 ， 导 致 数 
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据 的 冒名 使 用 ， 给 合法 用 户 的 数据 安全 带 来 威胁 :， 另 一 方面 ， 用 户 可 能 遭遇 网 络 钓鱼 和 恶意 软 











件 攻 击 等 安全 威胁 ， 导 致 数据 被 他 人 非法 获取 。 



































办 此， 无 论 用 户 在 哪里 登录 ， 云 服务 提供 商 和 应 用 程序 都 要 确认 用 户 的 身份 ， 只 有 通过 



























































认证 的 合法 用 户 才能 访问 云 中 相应 的 服务 和 数据 。 在 云 计算 中 ， 用 户 














可 能 使 用 不 同 云 服 务 提供 























商 所 提供 的 服务 ， 从 而 拥有 不 同 的 用 户 名 和 密码 ， 很 容易 造成 混淆 与 
































的 认证 中 。 
































并 提供 良好 的 用 户 体验 ， 单 点 登录 、 联 合身 份 认证 、PKI 等 技术 和 框架 被 广泛 地 应 用 到 云 计算 











遗 态 。 为 了 减轻 用 户 负 担 























在 CSA 的 安全 指南 中 ， 对 单 点 登录 的 描述 是 :“ 安 全 地 将 身份 信息 和 属性 传递 给 云 服务 























的 能 力 ” 简单 地 说 就 是 利用 单 点 登录 协议 ， 使 用 户 在 使 用 云 服 务 时 
























































AAT 要 注 月 和 登录 一 次 ， 














从 而 减轻 用 户 负 担 。 比 如 ，Google 文 持 基于 单 点 登录 协议 〈OpenID ) 的 单 点 登录 技术 、 


























Salesforce 采用 基于 单 点 登录 开放 标准 (SAML) 的 单 点 登录 技术 。 

















CSA 安全 指南 对 联合 身份 认证 的 描述 是 :“ 在 不 同 云 服务 提供 商 的 身份 信息 库 间 建立 关 








联 ”。 用 户 只 需要 在 使 用 某 个 云 服 务 时 登录 一 次 ， 就 可 以 访问 所 有 相 








互信 任 的 云 平台 ， 而 不 需 























要 在 多 个 不 同 的 云 平台 上 重复 注册 和 登录 多 个 账号 。 简 单 地 说 就 是 

















j 户 可 以 使 用 一 个 账号 登录 














相互 信任 的 不 同 云 服 务 平台 。 联 合身 份 认证 技术 通常 基于 单 点 登录 方 




















Zo 

















基于 PKI 的 联合 身份 认证 技术 是 目前 广泛 被 采纳 的 一 种 联合 身份 认证 方案 。PKI 提供 的 
安全 服务 包括 身份 认证 、 数 据 保密 性 、 数 据 完 整 性 和 不 可 抵赖 性 等 ， 从 而 实现 了 认证 、 授 权 









































和 安全 通信 等 安全 功能 。PKI 的 基本 要 素 是 数字 证 书 。 数 字 证 书 是 由 认证 权威 CA 发 放 的 数 
字 签 名 ， 包 含 了 公开 密 钥 的 拥有 者 及 相关 信息 的 一 种 数据 结构 。 比 如 基于 X.509 证 书 和 PKI 






























































认证 框架 实现 的 SSL 认证 协议 被 用 于 Amazon 提供 的 EC2 云 服务 中 ， 用 于 实现 对 用 户 的 身 
份 认证 。 



































方 工具 生成 ， 这 种 证 书 不 需要 由 特定 的 CA 来 颁发 ， 只 要 符合 证 书 的 
就 会 被 验证 服务 器 接受 为 合法 的 证 书 。X.509 证 书包 括 一 个 证 书 文件 



























































X.509 证 书 是 由 云 服 务 提供 商 为 用 户 生 成 数字 证 书 以 及 私 钥 文 件 ， 也 可 以 由 用 户 通 过 第 三 













































































规范 ， 并 且 在 有 效 期 内 ， 
和 相应 的 私 钥 文 件 ， 证 书 

















文件 中 包含 该 证 书 的 公 钥 和 其 他 数据 ， 私 钥 文 件 中 包含 用 户 对 API 请 求 进行 的 数字 签名 的 私 


























钥 ， 由 用 户 唯一 拥有 ， 云 服务 系统 不 保存 该 私 钥 文 件 的 任何 副本 信息 
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在 混合 云 环境 下 ， 由 于 具有 用 户 所 归属 的 认证 域 众多 ， 用 户 和 服务 间 信 任 关系 动态 变化 














的 特点 ， 不 适宜 采用 PKI 为 用 户 建立 信任 关系 。 


2.4.44 加 密 与 解密 





























目前 ， 云 服务 提供 商 一 般 采 用 密码 学 中 的 技术 来 保证 数据 安全 ， 常 用 技术 之 一 就 是 对 数 





























据 进行 加 密 和 解密 。 密 码 技术 不 仅 服务 于 信息 的 加 密 和 解密 ， 也 是 身 











份 认 证 、 访 问 控制 和 数据 











签名 等 多 种 安全 机 制 的 基础 。 其 应 用 领域 主要 有 : 册 用 加 密 来 保护 信息 ，@ 采 用 数字 证 书 来 进 


























行 身 份 鉴别 ;，@@ 采 用 密码 技术 对 发 送信 息 进 行 验证 ;外 数字 签名 。 


























加 密 通常 会 涉及 加 密 算法 和 加 密 密 钥 。 目 前 ， 加 密 算法 主要 有 如 下 三 类 ; 


1， 对 称 加 密 





























一 一 种 加 密 技 术 。 目 前 ， 它 仍 是 使 用 频繁 的 一 类 加 密 算法 。 
对 称 加 密 技 术 主要 包括 几 个 因素 : 中 明文 ， 通 信 双 方 的 原始 消 ， 












































上 进行 的 一 系列 替换 和 移 位 操作 ; @@ 密 钥 ， 加 密 算 法 输入 的 一 部 分 ; 
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对 称 加 密 ， 也 称 为 单 密 钥 加 密 技 术 ， 是 一 种 在 20 世纪 70 年 代 的 公 钥 体制 出 现 以 前 的 唯 








@ 密 文 ， 作 为 加 密 算法 





的 输出 








流 密 码 也 称 为 序列 密码 ， 是 指 利 用 密 钥 产生 一 个 密 钥 流 ， 然 后 利 














进行 加 密 。 








流 密码 通常 以 位 或 字 节 为 操作 对 象 。: 








内 种 


， 其 完全 依赖 于 明文 和 加 密 密 钥 ， 对 于 不 同 的 密 钥 ， 由 同一 明文 应 该 产生 不 同 的 密 
文 ; 回 解密 算法 ， 与 加 密 算 法 的 作用 相反 ， 以 密 文 和 密 钥 作为 输入 并 且 恢 复明 文 。 
按 加 密 方式 不 同 ， 对 称 加 密 算 法 又 可 以 分 为 流 密码 和 分 组 密码 















































j 此 密 钥 流 依次 对 明文 
型 的 流 密码 结构 包括 一 个 伪 随 机 数 发 生 器 ， 


当 不 知道 密 钥 的 情况 下 ， 可 以 产生 一 个 不 可 预知 的 伪 随 机 流 ， 输 入 的 明文 依次 与 该 伪 随 机 流 进 
行 异 或 操作 ， 来 加 密 数 据 。 分 组 密码 将 输入 的 明文 分 组 当 作 一 个 整体 进行 处 理 ， 输 出 一 个 等 长 
的 密 文 分 组 。 每 组 分 别 在 密 钥 的 控制 下 变换 成 等 长 的 输出 数字 序列 。 


























分 组 密码 多 采 
Feistel 为 名 )， 





























并 通过 相同 
DES 算法 "是 一 个 采 
加 密 算法 。 在 DES 算法 中 ， 


] Feistel 结构 ( 




































































DES 算法 渐渐 地 退出 了 美国 国 
业 。DES 算法 的 最 大 优点 就 是 加 密 速度 快 
为 提高 DES 算法 的 计算 速度 提供 了 有 效 的 技术 文 











2. 非 对 称 加 密 


与 对 称 加 密 相 比 ， 非 对 称 加 密 ( 公 钥 加 密 〉 是 指 加 密 和 解密 使 月 


也 称 为 公私 钥 加 密 。 
































] 于 分 组 密码 中 的 一 种 对 称 结构 ， 以 它 的 发 明 者 Horst 
的 多 轮 操 作 以 提高 加 密 算法 的 安全 性 。 
典型 的 Feistel 结构 ， 分 别 使 用 64 位 的 分 组 和 56 位 的 密 钥 的 对 称 
































家 安全 加 





密 领 域 。 














， MH 




















加 密 过 程 和 解密 过 程 均 采 取 了 相反 方向 的 轮 变 换 。2000 年 以 后 ， 
现 如 今 它 主 要 应 用 在 金融 领域 和 计算 机 行 





| 随 着 已 片 技术 的 不 断 提 高 ， 造 价 越 来 越 低 ， 





S. 























不 同 密 钥 的 加 密 算法 ， 


在 公 钥 加 密 体 制 中 的 密 钥 分 别 记 为 公 钥 (Public Key) 和 私 钥 (Private Key)， 经 过 Private 











Key 加 密 后 的 密 文 只 有 通过 Public Key 来 解密 ， 反 之 通过 Public Key 加 密 后 的 密 文 只 有 通过 


Private Key 来 进行 解密 。 


在 加 密 过 程 






































后 的 信息 可 以 通过 任何 其 












































私 钥 解 密 该 信息 从 








JEH, 
密 的 信息 ， 加 密 者 可 以 通过 发 布 该 消 , 
钥 加 密 体 制 在 这 种 场合 下 能 够 保证 消 , 





























人 们 
性 完全 依赖 大 数 的 因 
明 大 数 的 因 
在 一 定 困 难 。 


3. 谓词 加 密 

















典型 的 公 钥 加 密 算法 。 

















谓词 加 密 提 供 了 加 密 数 据 
密 为 密码 学 协议 和 应 用 提供 





该 算法 是 如 今 使 














昌 来 源 的 真实 性 。 






































8 该 明文 。 另 外 ， 通 过 私 钥 加 
昌 使 得 任何 持 有 公 钥 的 通信 实体 能 够 解密 ; 





， 公 钥 可 以 发 布 给 公开 和 群体， 消息 发 送 方 经 过 公 钥 加 密 
至 不 安全 的 通道 发 送 给 消息 接收 者 ， 消 息 接 收 者 收 到 消息 后 
i 不 持 有 私 钥 的 第 三 方 无 法 恢复 HH 











， 可 以 
































获得 明文 。 公 

















比如 数字 签名 是 其 : 














型 的 应 用 。 





























式 分 解 ， 大 数 的 
































假设 张 三 把 他 所 有 的 
务 器 知道 这 些 邮 件 的 内 容 。 
件 服务 器 中 取出 























件 时 再 从 
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FO EAEE BB 23 d P 1 
了 更 多 的 解决 方向 。 谓 词 加 密 广泛 应 用 于 需要 对 数据 库 服 务 器 
数据 库 进 行 加 密 ， 但 同时 又 要 通过 服务 器 对 加 密 数 据 进行 搜索 查询 的 情况 。 
F 存 储 在 一 个 邮件 服务 器 上 。1 

















i. fou Hg 











1977 年 由 Ron Rivest, Adi Shamir 和 Leonard Adleman 一 起 提出 的 RSA 算法 是 一 个 
最 为 广泛 的 公 钥 加 密 算法 。 它 的 安全 性 得 
RERA, EA ISO 定 为 非 对 称 体制 算法 的 加 密 标 准 。RSA 算法 的 优点 是 其 安全 
因 式 分 解 至 今 还 是 一 个 数学 难题 ， 
式 分 解 和 破解 RSA 等 价 ， 但 是 几乎 都 是 这 样 认 为 的 ， 所 以 破解 RSA 算法 存 


到 了 

















虽然 没有 完全 证 




















的 理论 基础 ， 谓 词 加 
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隐私 的 关系 ， 他 不 想 让 邮件 月 


























时 ， 就 可 以 把 这 些 








MEIZ, J 

































































5 
三 无 法 通过 
但 是 ， 采 用 谓词 


























pg 件 服务 器 对 这 
加 密 就 


件 时 ， 








E c [LIE 














g 件 进行 查询 操作 。 




















用 私 钥 进行 解密 


能 解决 上 述 问 题 。 邮 作 





























张 三 持 有 私 钥 。 当 





阅读 。 














于 这 些 文件 都 是 加 密 过 的 ， 张 








信息 包 括 (Sender, Date, Subject, + 





他 要 阅读 
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以 将 一 些 关 键 字 作为 邮件 的 可 查询 信息 ， 用 谓词 加 密 对 邮件 进行 加 密 。 查 询 的 时 候 ， 假 设 需 
查询 的 谓词 为 P: (Sender-Bob)&(Date E[2009，2010])。 张 三 会 根据 这 个 谓词 生成 一 个 查询 
牌 ， 将 令 牌 发 送 到 邮件 服务 器 以 授权 邮件 服务 器 对 加 密 邮 件 进行 谓词 评估 ， 从 而 具有 查询 加 
b 件 的 能 力 。 但 是 ， 除 了 查询 之 外 ， 邮 件 服务 器 不 能 获得 这 些 邮 件 的 任何 其 他 信息 。 即 谓词 
密 既 实现 了 邮件 的 查询 ， 又 保证 了 邮件 本 身 的 保密 性 。 

最 后 需要 指出 的 是 ， 因 为 云端 计算 对 象 存储 中 提供 身份 验证 系统 ， 使 用 用 户 名 /密码 组 合 
对 用 户 进行 身份 验证 ， 这 就 需要 对 密码 强度 有 一 定 要 求 。 例 如 NIST 关于 密码 强度 所 提供 了 
些 规则 包括 检查 密码 字典 的 常用 密码 ， 指 定 最 小 密码 长 度 ， 并 要 求 使 用 不 同 的 字符 如 小 写字 
母 、 大 写字 母 和 数字 等 。 


24.5 RRIKA 

据 IDC 的 统计 数字 表明 ， 美 国 在 1990 一 2000 年 发 生 过 数据 灾难 的 公司 中 ， 当 时 倒闭 的 占 
有 比例 为 55%，29% 的 公司 在 两 年 内 之 内 倒闭 ， 生 存 下 来 的 仅 占 16%。 可 以 讲 ， 数 据 的 可 用 
性 对 于 数据 服务 提供 商 而 言 具有 非常 重要 的 意义 。 
目前 ， 保 证 数据 高 可 用 性 的 主要 技术 就 是 容 灾 备份 ， 通 过 此 技术 可 以 降低 存储 系统 的 单 
点 故障 。 通 过 最 大 限度 减少 计划 内 和 计划 外 的 停机 时 间 ， 可 适应 日 常 的 维护 和 升级 需要 ,减少 
与 服务 器 和 软件 故障 有 关 的 应 用 程序 停机 时 间 ， 实 现 系统 连续 运转 。 

CSA 表明 :“ 数 据 备份 是 一 种 机 制 ， 用 于 防止 数据 丢失 、 不 必要 的 数据 覆盖 和 破坏 ， 提 醒 
] 户 不 要 假设 存储 在 云端 的 数据 是 可 恢复 的 ”为 了 防止 数据 丢失 和 破坏 ， 以 及 提高 数据 可 用 
性 ， 云 端 计算 对 象 存储 通常 会 跨 集群 存储 数据 在 多 个 位 置 。 

在 云 环 境 下 ， 云 存储 系统 主要 是 采用 数据 见 余 和 异地 分 布 存储 的 技术 来 保证 云 存 储 系统 
的 数据 可 用 性 。 这 种 方法 主要 在 异地 分 布 建立 和 维护 多 份 数 据 的 副本 及 地 理 的 分 散 性 来 抵御 数 
据 的 抗灾 能 力 。 这 种 多 副本 的 存储 方式 在 当 数据 因为 灾难 发 生 而 无 法 访问 的 时 候 ， 可 以 通过 恢 
复 技术 获取 保存 在 异地 数据 服务 器 上 的 数据 。 比 如 ，Amazon 的 S3 服务 、Google 的 GFS 和 
Hadoop 的 HDFS 为 了 保证 数据 的 可 用 性 ， 默 认 都 采用 3 备份 机 制 。 

总 之 ， 容 灾 与 恢复 技术 可 以 帮助 云 系统 在 自然 灾害 、 系 统 故障 及 人 为 失误 中 | 
失 的 数据 和 间断 的 服务 ， 以 此 来 提高 云 存储 服务 的 可 靠 性 。 


24.6 访问 控制 

访问 控制 技术 包括 安全 登录 技术 和 权限 控制 技术 。 对 于 安全 登录 ， 仍 未 有 较为 完善 的 解 
决 办 法 ， 用 户 可 通过 自身 的 安全 性 来 进行 防范 ， 如 安装 杀毒 软件 。 对 于 权限 控制 ， 一 方面 应 防 
范 由 系统 漏洞 带 来 的 访问 权限 越界 问题 ， 男 一 方面 应 注意 系统 维护 人 员 的 访问 策略 ， 可 采用 | 
系统 管理 账号 、 密 码 和 权限 ， 存 储 到 数据 库 中 的 机 密 信 息 全 部 采用 密 文 保存 ， 即 便 系 统管 理 人 
员 也 无 法 得 到 原文 ， 密 钥 可 由 用 户 掌握 。 

在 云 计 算 环 境 中 ， 各 个 云 应 用 属于 不 同 的 安全 管理 域 ， 每 个 安全 域 都 管理 着 本 地 的 资源 
和 用 户 。 当 用 户 跨 域 访问 资源 时 ， 需 在 域 边界 设置 认证 服务 ， 对 访问 共享 资源 的 用 户 进行 统一 
的 身份 认证 管理 。 在 跨 多 个 域 的 资源 访问 中 ， 各 域 都 有 自己 的 访问 控制 策略 ， 在 进行 资源 共享 
和 保护 时 必须 对 共享 资源 制订 一 个 公共 的 、 双 方 都 认同 的 访问 控制 策略 ， 因 此 ， 需 要 支持 策略 
的 合成 。 
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2.454 用户 隔离 








技术 ， 
中 ， 






































服务 等 ， 每 个 用 户 都 有 不 同上 














平台 


的 














用 户 程序 的 限制 在 了 
E 出 ， 给 用 户 提供 各 种 各 样 的 应 用 月 





用 户 隔 离 技术 最 早出 现在 如 防范 病毒 等 领域 ， 为 了 使 用 户 程序 安全 运行 ， 引 入 了 “ 沙 箱 ” 
使 程序 的 运行 在 一 个 隔离 的 环境 中 ， 
j 来 存放 临时 来 自 网 络 的 数据 和 信息 ， 
也 会 被 清除 ， 从 而 有 效 地 降低 外 来 数据 对 本 地 系统 的 影响 。 
而 有 效 地 隔离 外 来 数据 。 这 种 方法 对 
随 着 不 同类 别 的 云 计 算 











并 不 影响 本 地 系统 卜 。 沙 箱 技术 最 早出 现在 Java 
即 当 网 络 会 话 结束 后 ， 服 务 器 端 保存 的 数据 和 信息 
沙 箱 只 能 暂时 地 保存 外 来 信息 ， 从 
它 只 能 使 用 有 限 的 文档 和 数据 。 

有 务 、 计 算 服务 和 存储 

























































































1. 基础 架构 层 的 隔离 机 制 





如 果 通 过 基础 架构 层 提供 应 月 
担心 服务 器 的 地 理 位 置 
不 会 发 生 数据 ; 
巨大 的 资金 去 购买 和 搭建 大 规模 的 服务 器 集群 。 











耗费 














Z 








的 需求 ， 每 个 应 用 程序 都 需要 存储 数据 和 计算 月 
应 用 服务 的 运行 和 数据 的 存储 ， 以 及 计算 服务 之 间 不 会 发 生 数据 冲突 的 常 
机 制 ， 不 同 的 层次 采用 不 同 的 隔离 机 制 。 


服务 给 用 户 ， 用 户 就 可 以 去 开发 自 
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' 突 ， 隔 离 的 目 











不 同 














的 也 就 达 














2. 平台 层 的 隔离 机 制 


有 务 ， 那 么 保证 这 些 
技术 之 一 就 是 隔离 












































而 不 用 








己 的 应 用 服务 ， 








] 户 可 以 申请 分 配 到 属于 自己 的 不 同 的 服务 占 ， 那 么 用 户 之 间 就 
到 了 。 但 是 如 果 采 用 这 种 方式 ， 云 计算 服务 提供 商 需要 




















SÉ 


层 是 介 于 应 用 层 和 基础 架构 




















构 




















层 提供 的 服务 ， 使 朋 
有 自己 的 操作 系统 ,月 











HJ" fi 
有 务 器 能 够 响应 不 同 








多 更 加 方便 地 


层 之 间 的 一 
使 用 服务 。 要 在 这 一 层 上 实现 隔离 ， 就 需要 每 个 














封装 基础 架 
JKB 





慨 ， 提 供 的 是 中 间 层 服务 ， 主 要 用 于 










































































式 反馈 给 不 同 的 
的 隔离 机 制 能 够 支持 更 多 的 用 户 。 但 是 这 种 方式 会 消耗 大 量 

















] 户 的 不 同 需 求 ， 把 属于 不 同 
] 户 ， 这 样 就 能 够 达到 隔离 的 目的 。 在 具有 同等 规模 的 集群 环境 中 ， 运 用 平台 








户 的 数据 按照 映射 的 方 
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3. 应 用 层 的 隔离 机 制 


应 用 











户 的 数据 ， 第 二 种 情况 是 多 个 


具有 相同 的 数据 流程 ， 那 么 隔离 机 种 





屋 通 过 对 业务 进行 划分 来 实现 多 用 户 的 隔离 机 和 
引擎 的 不 同 来 实现 隔离 。 其 体 可 以 划分 为 两 种 情况 ， 第 一 种 情况 是 





| 就 会 给 不 同 








的 服务 器 时 间 用 于 寻找 指定 映射 。 





该 机 制 的 设计 思想 是 通过 工作 流 
共有 相同 的 工作 流 引擎 但 不 
户 分 配 不 同 的 名 称 ， 这 样 就 能 够 区 分 每 个 用 
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个 数据 流程 但 工作 流 引 擎 不 同 ， 那 么 系统 还 是 给 不 














同 的 用 户 分 配 不 同 的 名 学 ， 依 据 这 些 
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从 而 达到 实现 数据 隔离 的 目的 。 
24.8 ”网 络 安 全 





随 着 信 ， 





技术 也 在 不 断 被 改善 。 常 用 的 
1. 安全 套 接 层 〈SSL ) 
SSL 是 Netscape 公司 率先 采用 的 网 络 安 

采用 公开 密 钥 技术 ， 文 持 服务 通过 网 络 进行 通信 而 不 损害 安全 性 。 


种 安全 协议 ， 


服务 器 之 间 创 建 一 个 安全 连接 ， 然 后 通过 该 连接 安全 地 发 送 任意 数据 


SSL 广泛 文 持 各 种 类 型 的 网 络 ， 同 时 提供 三 种 基本 的 安全 服务 ， 它 们 都 使 用 


昌 技 术 的 发 














展 和 网 络 的 迅速 传播 ， 网 络 安全 威胁 问题 
网 络 安全 技术 有 以 下 几 种 : 




















司 的 名 字 来 判断 不 同 的 工作 流 引 擎 所 对 应 的 用 户 数 据 ， 





直 在 增加 ， 但 是 网 络 安全 
































全 协议 。 它 是 在 传输 通信 协议 TCP/IP 上 实现 的 一 
它 在 客户 端 和 
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Eo 





























2. 虚拟 专业 网 络 (VPN) 


VPN 被 

















个 公用 互联 














公开 密 钥 技术 。 











网 络 建立 一 个 临时 的 且 安 全 的 连接 ， 是 一 条 穿 过 混 
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ALÉ 
网 

















的 公用 网 络 的 安全 、 稳 定 隧道 ， 使 用 这 条 隧道 可 以 对 数据 进行 儿 倍加 密 以 达到 安全 使 用 互联 
的 目的 。 
VPN 可 以 分 为 两 部 分 ， 一 个 是 隧道 技术 ， 另 一 个 是 加 密 技 术 。 隧 道 技术 意味 着 从 开始 节 





































































































点 到 结束 节点 ， 发 送 和 接收 数据 是 通过 一 个 虚拟 隧道 ， 这 个 隧道 不 受 外 网 的 影响 。 


2.4 
































.9 ”安全 审计 
目前 对 安全 审计 这 个 概念 的 理解 还 不 统一 。 概 括 地 讲 ， 安 全 审计 是 采用 数据 挖 据 和 数据 

































































仓库 技术 ， 实 现在 不 同 网 络 环境 中 端 对 终端 的 监控 和 管理 ， 在 必要 时 通过 多 种 途径 向 管理 员 发 
出 警告 或 自动 采取 排 错 措施 ， 能 对 历史 数据 进行 分 析 、 处 理 和 追踪 。 





评估 通用 准则 2.0 版 》(ISOTIEC 15408)， 对 安全 审计 定义 了 一 套 完整 的 功能 ， 如 安全 审计 
动 响应 、 安 全 审计 事件 生成 、 安 全 审计 分 析 、 安 全 审计 浏览 、 安 全 审计 事件 存储 以 及 安全 审计 







































































比如 ，1999 年 12 月 ， 国 际 标准 化 组 织 和 国际 电工 委员 会 正式 颁布 发 行 《信息 技术 安全 性 
























































































































































事件 选择 等 。 
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第 3 瘟 ” 云 基础 设施 安全 


云 计算 的 基础 是 云 基 础 设施 ， 承 载 云 服务 的 应 用 和 平台 均 建 立 在 云 基础 设施 之 上 。 确 保 
云 环境 中 用 户 数据 和 应 用 安全 的 基础 是 要 保证 云 基础 设施 的 安全 和 可 信 。 由 于 云 计 算 的 服务 模 
式 和 它 引 入 的 虚拟 化 技术 不 可 避免 地 会 给 云 基 础 设施 带 来 一 系列 新 的 安全 问题 ， 本 章 将 从 全 局 
角度 分 析 云 基础 设施 存在 的 安全 问题 ， 并 结合 云 基础 设施 的 安全 需求 来 讨论 保证 云 基础 设施 安 
全 性 的 关键 技术 。 


























































































































31 概述 


云 服 务 的 应 用 和 平台 都 是 建立 在 云 基础 设施 之 上 ， 确 保 云 环境 中 用 户 数据 和 应 用 安全 的 
基础 是 要 保证 服务 的 底层 支撑 体系 即 云 基 础 设施 的 安全 。 


3.1.1 去 基础 设施 的 架构 

云 计算 基础 设施 是 以 高 速 以 太 网 连接 各 种 物理 资源 (如 服务 器 、 存 储 设备 、 网 络 设备 
等 ) 和 虚拟 资源 〈 如 虚拟 机 、 虚 拟 存储 空间 等 )。 其 允许 的 增 量 增长 远 远 超出 典型 的 基础 设施 
规模 水 平 。 这 些 组 件 应 该 根据 它们 的 能 力 来 选择 ， 以 支持 可 伸缩 性 、 高 效 性 和 安全 性 。 其 中 虚 
拟 基 础 设施 资源 是 利用 虚拟 化 技术 构建 的 建立 于 物理 基础 设施 资源 的 基础 之 上 的 ， 对 内 通过 虚 
拟 化 技术 对 物理 资源 进行 抽象 ， 使 内 部 流程 自动 化 并 对 资源 管理 进行 优化 ， 对 外 则 提供 动态 灵 
活 的 资源 服务 43。 

云 基础 设施 栈 的 结构 可 以 描述 为 如 图 3-1 所 示 的 形式 。 





























































































































































































































云 计算 软件 平台 架 


云 应 用 服务 层 (SaaS) 
云 软件 环境 服务 层 (PaaS) 











云 软件 基础 设施 服务 层 (IaaS) 





图 3-1 云 基础 设施 栈 结 构图 








1. 云 数据 中 心 网 络 结构 
对 于 数据 中 心 而 言 ， 传 统 的 数据 中 心 架 构 和 服务 方式 已 经 逐渐 落后 于 时 代 需 求 ， 用 户 对 
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安全 、 高 效 及 节能 等 方面 的 要 求 也 越 来 越 迫 切 。 在 此 背景 下 ， 迎 合 云 计算 技术 的 云 数据 中 心 应 
运 而 生 。 这 种 新 型 的 数据 中 心 已 经 不 只 是 一 个 简单 的 服务 器 托管 和 维护 的 场所 。 它 已 经 衍 变 成 
一 个 集 大 数 据 运算 和 存储 为 一 体 的 高 性 能 计算 机 的 集结 地 。 各 IT 厂商 将 之 前 以 单 台 为 单位 的 
服务 器 通过 各 种 方式 变 成 多 台 为 群体 的 模式 ， 在 此 基础 上 开发 如 云 存 储 等 一 系列 的 功能 ， 以 提 









































高 单位 数量 内 服务 器 的 使 用 效率 。 


















































目前 ， 新 一 代数 据 中 心 〈 又 称 为 云 数 据 中 心 ) 的 概念 仍 没有 一 个 标准 定义 。 普 遍 认为 新 





一 代数 据 中 心 ， 是 基于 标准 构建 模块 ， 通 过 模块 化 软件 实现 7X24h 无 人 值守 运行 与 管理 ， 并 





























以 供应 链 方式 提供 共享 的 基础 设施 、 信 息 与 应 用 等 服务 。 








由 于 云 计算 硬件 设施 层 的 服务 器 可 达 数 十 万 台 ， 因 此 ， 其 基础 架构 的 网 络 结构 通常 采用 


a ae 数据 中 心 
- a 








如 图 3-2 Przs tg — view 2p 38d, 


"mer _# 


数据 接 人 层 4 





图 3-2 云 数据 中 心 网 络 结构 









































在 当前 的 云 计算 架构 中 ， 云 数据 中 心 是 云 计 算 硬件 架构 最 底层 的 独立 计算 单位 。 作 为 一 
个 大 型 的 数据 中 心 ， 需 要 处 理 大 量 的 数据 ， 而 这 些 计算 机 要 承担 的 任务 ， 绝 大 部 分 是 简单 的 计 



































算 。 与 此 同时 ， 为 了 控制 数据 中 心 的 成 本 ， 数 据 中 心 的 计算 机 一 般 并 不 是 高 性 能 的 服务 器 ， 而 

















是 大 量 的 廉价 计算 机 ， 随 之 而 来 的 一 个 问题 就 是 ， 当 进行 大 量 计算 时 ， 如 何 保证 整个 数据 中 心 
内 部 的 数据 交换 效率 。 另 外 ， 面 向 云 的 数据 中 心 侧重 点 已 由 物理 架构 转向 了 提供 标准 化 服务 。 






































在 物理 设施 和 管理 层 ， 对 内 使 用 良好 的 调度 和 平衡 方案 ， 大 量 使 用 虚拟 化 技术 ， 对 外 则 屏蔽 下 





























层 物 理 设备 ， 为 上 层 提供 标准 化 计算 和 存储 资源 ， 根 据 用 户 的 不 同 需求 ， 提 供 不 同 水 平和 集成 




















度 的 服务 。 

















一 般 来 讲 ， 云 数据 中 心 的 网 络 架构 需要 具备 以 下 五 大 技术 特性 门 : 
CI) 高 速 以 太 网 “带宽 压力 是 云 数 据 中 心 网 络 的 核心 问题 。 比 如 视频 点 播 等 应 用 ， 都 需 
要 万 兆 以 太 网 。 随 着 服务 器 和 接 入 设备 上 万 兆 以 太 网 的 普及 ， 数 据 中 心 的 网 络 汇聚 层 和 核心 层 














设备 对 万 兆 以 太 网 的 需求 越 来 越 强烈 。 作 为 新 一 代 云 数据 中 心 ， 
用 100G 以 太 网 才能 满足 应 用 需求 。 


















































汇聚 层 或 核心 层 至 少 应 该 采 














(2) IRURE JR 




















也 称 为 突 发 流量 ， 表 示 瞬 间 的 网 络 高 速 流量 。 这 种 情况 在 承载 搜 


索 业 务 的 数据 中 心中 表现 尤为 明显 。 数 据 中 心 处 理 次 搜索 业务 ， 一 般 是 由 一 个 服务 器 发 起 ， 
然后 向 数据 中 心中 保存 有 搜索 信息 业务 的 数 千 台 服务 器 同时 发 起 搜索 请 求 ， 这 些 服务 器 几乎 同 
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一 时 间 将 搜索 结果 返回 给 发 出 搜索 请 求 的 服务 器 。 


传统 数据 中 心 的 网 络 采用 上 























端口 缓存 的 机 制 ， 使 得 所 有 数据 流 的 突 发 在 出 端口 处 被 组 





存 ， 缓 存 的 大 小 即 是 网 络 最 大 可 能 的 突 发 值 。 云 数据 中 心 应 用 的 特点 要 求 缓存 要 大 ， 所 以 一 般 
云 数 据 中 心 的 网 络 设备 必须 具备 超大 缓存 ， 同 时 不 再 采用 出 端口 缓存 ， 而 采用 入 端口 缓存 。 





这 种 滔 涌 缓 存 技术 能 够 自动 调节 不 同方 向 的 瞬时 流 








的 主要 应 用 技术 。 














































































































量 拥塞 压力 ， 是 当前 云 数 据 中 心 网 络 





(3) 网 络 虚 拟 化 ”传统 数据 中 心 网 络 架构 由 于 采用 多 层 结构 ， 导 致 网 络 结构 比较 复杂 ， 
























































引入 虚拟 化 技术 进行 设备 管理 











来 ， 组 成 一 个 “联合 设备 ” 











放 将 这 些 设 备 看 作 单 一 设备 进行 管理 











将 一 台 设 备 分 割 成 相互 之 间 完 全 独立 的 多 个 虚拟 设备 。 




















数据 传送 的 实际 速率 能 够 达到 的 名 义 值 ， 无 阴 


















































使 得 数据 中 心 基础 网 络 的 维护 管理 难度 增 大 。 云 数据 中 心 需 要 管理 的 网 络 设 备 会 更 多 ， 有 必要 


E。 通 过 虚拟 化 技术 ， 用 户 可 以 将 多 台 设 备 连接 ,“ 横 向 整合 ”起 





和 使 用 。 网 络 虚 拟 化 也 可 以 











(4) 统一 交换 “ 云 数 据 中 心 网 络 需要 具备 “统一 交换 ”的 无 阻塞 全 线 速 〈 线 速 是 指 线路 
塞 全 线 速 是 指 交 换 的 任意 大 小 字 节 的 报 文 均 能 够 

















达到 全 线 速 的 能 力 ) 交换 架构 。 实 现 无 阻塞 全 线 速 的 架构 也 就 意味 着 要 具备 统一 交换 技术 。 


(5) 绿色 节能 ” 云 数据 中 心 的 网 络 是 数据 中 心中 能 耗 的 主要 组 成 部 分 之 一 ， 只 有 通过 降 
低 网 络 的 能 耗 才能 提升 云 数据 中 心 的 运行 效率 。 网 络 设备 消耗 的 功率 是 ; 





















































玄 设 备 内 所 有 器 件 消 耗 











功率 的 总 和 ， 选 择 低 功 耗 的 器 件 是 实现 节能 降 耗 的 源头 。 其 带 来 的 效果 不 仅仅 是 整 机 功 耗 简单 








累加 后 的 降低 ， 还 将 降低 热 设计 的 代价 。 网 络 设备 的 电源 系统 要 采 





























] 完 备 的 电源 智能 管理 ， 自 


动 调节 功率 分 配 。 此 外 ， 还 可 以 通过 模块 化 的 设计 以 及 虚拟 化 等 绿色 节能 技术 ， 降 低 云 数据 中 











心 的 设备 投入 成 本 以 及 运营 维 


护 成 本 。 














2， 云 计算 硬件 基础 架构 





云 计算 硬件 设施 层 位 于 云 基 而 














设施 最 底层 ， 包 括 CPU. GPU 和 网 络 等 必 备 硬件 ， 是 云 计 





算 的 承载 实体 。 根 据 云 计 算 技术 的 特性 ， 云 计算 环境 中 的 硬件 设备 数量 较 多 而 且 分 布 于 不 同 地 














































































































y ih 5 
链 路 三 部 分 器。 


体 来 讲 ， 云 计算 人 硬件 基 而 


































































































理 位 置 ， 硬 件 设备 之 间 通 过 互联 网 以 及 网 络 传输 介质 等 途径 进行 连接 。 不 同 的 便 件 设备 由 统一 
的 硬件 设备 管理 系统 进行 管理 ， 通 过 底层 基础 组 成 部 件 而 实现 硬件 设备 的 逻辑 虚拟 化 管理 、 
链 路 见 余 管理 、 硬 件 基础 设施 的 监控 和 故障 处 理 管理 等 系统 化 管理 措施 。 
和 架构 主要 包括 服务 器 集群 、 海 量 存储 设备 和 高 速 的 网 络 带宽 

















S 





(1) 服务 器 集群 云 计算 最 基本 的 硬件 就 是 串联 起 来 的 服务 器 ， 为 解决 大 规模 服务 器 串 
联 所 引起 的 主机 散热 问题 ， 云 计算 数据 中 心 采 用 “货柜 式 ” 摆 放 法 ， 即 将 大 量 的 服务 器 集群 规 


整地 摆 放 在 类 似 大 货车 的 集装箱 里 。 为 实现 云 计 算 平 台 的 效用 性 ， 对 庞大 规模 的 服务 器 集群 需 
的 串联 技术 。 比 如 ，Google 
Dellas 数据 中 心 互 为 备份 ， 为 维护 服务 器 集群 之 间 的 负载 平衡 ， 




















要 采用 具有 可 伸缩 性 、 数 据 可 重复 性 以 及 容错 和 平衡 负载 等 特性 





的 Altanta 数据 中 心 与 Oregon 


将 计算 工作 平均 分 配 到 不 同 服务 器 集群 上 。 
(2) 海量 存储 设备 ”作为 Ias 承载 实体 ， 除 提供 高 性 能 的 计算 之 外 ， 还 必须 要 有 足够 的 
存储 空间 ， 以 满足 用 户 对 不 断 增 强 的 信息 存储 的 需求 。 比 如 Google 在 全 球 约 有 36 个 数据 中 



















































































心 ， 其 中 19 个 在 美国 ，12 个 在 欧洲 ，3 个 在 亚洲 ，1 个 在 俄 罗 











115.2 万 兆 字 节 存储 空间 ， 并 通过 GFS 和 BigTable 实现 数据 的 存储 和 管理 。 
(3) 高 速 的 网 络 带宽 链 路 ”一 个 云 内 可 以 包含 数 干 甚至 上 万 台 服 务 器 ， 虚 拟 化 技术 的 3 
因此 用 于 连接 云 内 不 同 节点 的 网 络 就 成 为 实现 高 效 
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遍 采 用 使 实际 网 络 节点 的 数量 更 加 巨大 。 
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E 南 美 ， 可 提供 近 
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计算 和 存储 能 力 的 关键 环节 之 一 。 云 计算 相关 的 网 络 技术 需要 解决 以 下 三 个 主要 问题 : 
O 虚拟 机 流量 的 接 入 与 控制 。 由 于 虚拟 机 的 引入 ， 虚 拟 机 之 间 流 量 的 交换 可 能 深入 到 网 卡 
内 部 进行 ， 使 得 原本 服务 器 与 网 络 设备 之 间 在 网 络 接 入 层 比较 清晰 的 界限 被 打破 。 目 前 的 主 
流 方法 是 采用 虚拟 机 软件 三 商 所 提供 的 软件 交换 机 。 刀 数据 中 心 内 部 横向 流量 的 承载 。 在 
云 计 算数 据 中 心中 ， 出 于 对 虚拟 机 热 迁 移 的 需要 ， 汇 聚 层 通常 采用 二 层 网 络 组 网 ， 这 使 得 汇 
聚 层 二 层 网 络 规模 大 大 增加 ， 原 有 技术 有 可 能 造成 链 路 的 大 量 浪费 。@) 数据 和 存储 网 络 的 
融合 。 传 统 数据 中 心中 存在 两 类 网 络 ， 即 连接 服务 器 的 以 太 网 ， 以 及 连接 服务 器 和 存储 设备 
的 光纤 存储 网 。 两 类 网 络 的 并 存 抬 高 了 建设 和 运行 管理 成 本 ， 为 适应 云 计算 低 成 本 的 需要 ， 
数据 网 络 和 存储 网 络 的 融合 成 为 一 种 趋势 。@) 大 量 的 服务 器 群 和 超 容 量 空间 的 数据 存储 与 
交换 ， 不 仅 要 求 云 计算 数据 中 心 的 服务 器 之 间 使 用 超 高 速 网 络 连 接 ， 同 时 ， 对 客户 端的 网 络 
速度 和 频 宽 也 提出 了 更 高 的 要 求 。 

3. 云 计算 软件 栈 架构 

为 了 更 好 地 组 织 构 成 云 计 算 基 础 架构 的 物理 实体 ， 必 须 设 计 相 应 的 系统 软件 ， 以 便 更 好 
地 发 挥 物理 实体 的 作用 。 
(1) IaaS 层 IaaS 层 主 要 由 分 布 文件 系统 和 虚拟 化 层 构成 。 为 了 更 好 地 组 织 构成 云 基础 
的 硬件 设施 ， 云 计算 底层 通常 有 一 个 能 够 控制 这 些 人 硬件 设施 的 文件 系统 层 ， 以 便 人 负责 系统 对 人 硬 
件 的 访问 。 比 如 Google 的 GFS 和 Hadoop 的 HDFS。 
虚拟 化 可 以 将 独立 的 服务 器 和 软件 系统 虚拟 化 为 多 个 并 行 的 可 供 操作 的 逻辑 对 象 。 虚 拟 
化 技术 使 应 用 程序 和 底层 的 物理 硬件 资源 实现 逻辑 独立 ， 解 除了 捆绑 ， 使 得 系统 能 够 适应 各 种 
应 用 程序 ， 而 与 底层 物理 设备 不 再 直接 关联 。 

(2) PaaS 层 Paas 层 主 要 由 云 计算 编程 模式 和 数据 管理 层 构成 。 云 计算 平台 的 一 个 重要 
指标 是 计算 能 力 。 对 此 ， 云 计算 服务 平台 必须 提供 一 个 简单 有 效 的 计算 模型 。 目 前 ， 广 泛 应 用 
于 云 计 算 平 台 的 计算 模型 为 MapReduce 模型 。 

云 计算 平台 处 理 的 数据 具有 规模 大 、 分 布 广 的 特点 。 为 了 更 好 地 组 织 用 户 访 问 的 数据 ， 
需要 数据 库 管理 服务 器 专门 处 理 数据 ， 这 样 才能 够 满足 用 户 高 速 存 取 数据 的 需求 。 比 如 
Google 和 Hadoop 的 数据 管理 层 分 别 是 BigTable 和 HBase。 

(QD SaaS JÈ Saas 层 的 作用 在 于 根据 不 同 的 业务 需求 开发 对 应 的 应 用 服务 接口 ， 从 而 提 
供 不 同 的 业务 访问 能 力 ， 提 高 云 计 算 服 务 系统 供给 的 多 样 性 和 广泛 性 。 其 中 ，SaaS 层 是 否 拥 
有 设计 良好 、 操 作 简 单 的 应 用 接口 和 界面 是 SaaS 层 应 用 软件 成 功 与 否 的 关键 。 
需要 指出 的 是 ， 由 于 目前 不 同 的 云 计算 服务 提供 商 均 为 独立 实体 ， 各 自 拥 有 自己 的 云 计 
算 服务 提供 方式 ， 所 以 云 计算 服务 系统 的 访问 类 型 和 访问 手段 会 随 云 服务 提供 商 的 不 同 而 存 
在 差异 。 


3.1.2 云 基础 设施 的 安全 问题 

云 服务 提供 商都 会 有 自己 的 遍布 全 球 的 数据 中 心 ， 而 数据 中 心里 便 存 放 着 组 成 云 最 底层 
的 基础 设施 ， 如 服务 器 、 存 储 设备 和 网 络 硬件 等 。 云 基础 设施 作为 云 的 最 底层 ， 它 的 安全 是 去 
计算 环境 中 用 户 数 据 和 应 用 安全 的 基础 。 因 此 ， 保 证 云 基础 设施 的 安全 性 ， 才 是 彻底 解决 云 计 
算 安全 问题 的 关键 P9。 

1 硬件 设施 层 的 安全 保护 问题 吕 

COD 底层 硬件 设施 ”底层 硬件 设施 层 的 安全 ' 
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FE 直接 与 云 计算 服务 供给 的 安全 性 挂钩 。 它 
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是 云 计算 服务 系统 的 安全 基础 。 通 常 需要 考虑 以 下 几 方面 : 


1) 硬件 管理 。 硬 












































件 设备 共有 一 定 的 生命 周期 ， 不 可 能 永远 使 用 ， 老 化 的 硬件 不 仅 出 错 

















高 ， 还 有 可 能 造成 数据 丢失 等 严重 问题 ， 因 此 ， 保 持 硬件 的 更 新 换代 尤为 重要 。 





依据 硬 作 

















F 设 备 的 特性 不 同 ， 可 以 分 为 两 类 : 一 类 是 与 用 户 数 据 无 关 的 硬件 设备 如 路 由 




















器、 交换 机 等 ， 这 类 设备 的 更 换 较 简单 ， 换 下 来 的 旧 设 备 也 能 在 要 求 较 低 的 地 方 继续 使 用 ， 男 











类 是 存储 有 





























用 户 信息 的 设备 如 SAN 或 存 有 用 户 数据 的 服务 器 硬盘 等 ， 这 一 类 设备 必须 对 其 
中 存 有 的 数据 进行 销毁 ， 以 防止 任何 可 能 的 数据 泄露。 
20 物理 访问 。 首 先 数据 中 心 必须 保证 对 能 进入 数据 中 心 的 工作 人 员 的 资格 进行 严格 审 


























与 控制 ， 保 证 工作 人 员 权 限 最 小 化 ， 以 防止 任何 可 能 的 权力 滥用 ， 其 次 严禁 携带 任何 移动 
备 ， 杜 绝 数据 泄露 的 可 能 性 ， 最 后 要 设置 完善 的 监视 、 日 志和 审计 制度 ， 保 证 任何 恶意 行为 





发 后 有 据 可 查 。 
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3) 容 灾 安 全 。 

















然 灾害 无 法 避免 ， 我 们 所 能 做 的 就 是 做 好 充分 准备 ， 在 其 到 来 时 尽量 

















少 损失 。 对 云 计算 
能 够 及 时 切换 到 其 

















和 i 言 ， 需 要 保证 在 一 个 数据 中 心 遇 到 自然 灾害 而 导致 整个 数据 中 心 不 可 用 
也 数据 中 心 ， 即 用 户 数 据 必须 在 其 他 数据 中 心 有 相 应 的 备份 ， 保 证 任何 灾 

































































性 的 事件 不 会 导致 数据 的 永久 丢失 。 另 外 ， 数 据 中 心 应 当 尽 量 使 用 不 同 的 电力 和 网 络 供应 


等 ， 以 免 遭 遇 断 电 和 断 网 等 情况 。 


























(2) 网 络 ”网 络 作为 与 外 界 入 侵 抗衡 的 一 道 屏障 ， 从 安全 的 角度 来 讲 ， 需 要 考虑 以 下 


方面 : 














1) 防火 墙 与 安全 策略 。 为 保证 网 络 环境 的 安全 性 ， 必 须 制订 严格 而 完善 的 管理 策略 。 





如 支持 逻辑 上 将 物理 






































防火 墙 划 分 成 多 个 虚拟 域 ， 而 每 个 虚拟 域 均 可 以 看 成 一 台 完 全 独立 的 防 
墙 设备 ， 彼 此 之 间 互 不 干扰 。 再 如 开放 使 用 端口 22 的 安全 服务 器 ， 如 亚马逊 即使 用 该 端口 































































































持 有 较 高 安全 需求 的 应 用 部 署 等 管理 操作 ， 还 要 提供 如 IP 白 名 单 的 功能 ， 保 证 访问 云端 
































j、 数 据 的 IP 在 访问 控制 列表 之 内 等 。 





















































2) 数据 传输 。 云 内 部 的 数据 通信 必须 保证 使 用 SSL， 而 云 与 用 户 之 间 基 于 安全 性 考虑 


也 应 尽量 使 月 


H HTTPS 等 安全 通信 协议 进行 相互 认证 。 





























2. 基础 管理 层 安 全 保护 问题 

基础 管理 层 将 云 计算 环境 中 存在 差异 的 人 硬件 设备 组 合 起 来 对 外 提供 统一 的 服务 。 可 以 
外 部 防御 和 内 部 防范 两 个 方面 考虑 基础 管理 层次 的 安全 保护 问题 。 

外 部 防御 是 指 抵御 一 些 来 自 云 计算 服务 供给 系统 外 部 的 安全 攻击 ， 如 非法 入 侵 、 拒 绝 
务 攻 击 等 。 内 部 防范 主要 是 防止 内 部 具有 合法 身份 的 用 户 有 意 或 无 意 地 做 出 对 数据 中 心 的 基 
设施 安全 有 害 的 行为 。 

对 于 此 类 威胁 ， 常 采用 的 措施 有 构建 完善 的 日 志 管 理 机 制 、 对 系统 进行 实时 监控 、 对 
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层 硬件 设施 层次 配置 数据 进行 必要 的 加 密 和 备份 等 。 
3. 平台 网 络 安全 保护 问题 


























所 有 云 服 务 的 提供 和 使 用 都 是 通过 网 络 实施 的 。 由 于 网 络 的 虚拟 性 ， 确 认 使 用 者 的 喘 


以 及 确保 身份 的 合法 怕 
























































FE 是 其 面 对 的 首要 问题 。 一 旦 攻击 者 获取 到 用 户 的 喘 份 验 证 信息 ， 假 冒 























法 用 户 ， 用 户 数据 将 完全 暴露 在 其 面前 ， 其 他 安全 措施 都 将 失效 ， 攻 击 者 将 可 能 窃取 或 修改 用 






































户 数据 、 窃 听 用 户 活动 等 ， 从 而 给 用 户 带 来 损失 ， 因 此 喘 份 假冒 是 云 计算 技术 面临 的 一 大 安 


威胁 。 


























云 管 理 软件 的 不 同 组 件 之 间 也 可 能 涉及 数据 中 转 、 上 传 或 下 载 等 传输 行为 ， 可 结合 数 
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加 密 与 加 密 传输 协议 来 实现 数据 机 密 性 与 完整 性 。 
传统 的 防火 墙 安全 策略 来 提高 网 络 的 安全 性 外 ， 还 可 通过 监控 网 络 流量 以 防止 
虚拟 机 上 第 三 方 入 侵 检测 系统 对 网 络 状 态 
IaaS 和 PaaS 云 中 ， 网 络 层 隔 离 模式 消失 。 网 络 安全 完全 依赖 于 域 ， 此 时 可 以 对 内 联网 


人 




















除了 采 
泛 洪 等 攻击 ， 如 利 
在 公共 
与 外 联网 都 进行 隔离 网 络 流量 以 提高 安 

4. 虚拟 化 层 安全 保护 问题 

云 计算 平台 








































































































j 效 率 的 最 大 化 。 但 是 虚拟 化 技术 也 引入 了 比 物理 

















的 软件 和 硬件 均 可 以 通过 虚拟 化 技术 为 多 个 有 



























































实行 监控 以 防止 DDoS Hh. 








HJ Br 
主机 更 多 的 安全 风险 。 





< 享 ， 从 而 实现 资源 利 








从 运 维 的 角度 来 看 ， 对 于 虚拟 服务 器 系统 ， 应 当 像 对 待 一 台 物 理 服务 器 一 样 地 对 它 进 行 











系统 安全 加 回 。 同 时 严格 控制 物理 主机 























行 连 接 ， 应 当 通 过 VPN 等 安全 方式 通信 ， 防 止 由 





























里 主机 。 





对 虚拟 服务 器 的 运行 状态 进行 严密 的 监控 ， 实 时 监控 各 虚拟 机 
志 ， 以 此 来 发 现存 在 的 安全 隐患 ， 对 不 需要 i 
由 于 传统 的 安全 策略 主要 适用 于 物理 设备 ， 无 法 管理 到 每 个 虚拟 机 和 虚拟 网 络 等 ， 
而 使 得 传统 的 基于 物理 安全 边界 的 防护 机 人 制 难 






































BE. 
5. 平台 中 数据 的 安全 保护 











云 计算 平台 通过 提供 存储 服务 以 支持 用 户 数据 的 存储 与 使 用 。 从 保证 数据 可 
通常 采用 数据 多 备份 技术 。 比 如 Hadoop 平台 











角度 来 讲 ， 云 平台 
数据 块 在 存储 系统 

















保留 三 个 备份 。 





























E 以 有 效 











上 运行 虚拟 服务 的 数量 。 如 








云 服 务 提供 商 还 需要 多 











FH 





果 虚 拟 服务 器 需要 与 主机 进 
于 东台 虚拟 服务 器 被 攻击 后 影响 其 所 在 的 物 


























的 系统 日 志和 防火 墙 晶 





运行 的 虚拟 机 应 当 立 即 关 闭 。 





因 


果 护 基于 虚拟 化 环境 的 用 户 应 用 与 信 




















性 的 





， 在 默认 情况 下 ， 每 一 个 
期 对 数据 进行 校 验 和 同步 。 





比如 Amazon 引入 Merkle 树 算法 (Amazon 存储 平台 Dynamo 采用 的 同步 数据 的 算法 ) 


来 实现 不 同 副 本 之 间 的 数据 
完整 性 。 


云 数 据 中 心 管理 员 所 具有 






























































商 对 用 户 数据 的 异常 访问 或 使 用 ， 需 要 采 月 
数据 共享 访问 ， 又 要 防止 数据 的 非法 访问 ， 这 需要 合理 的 密 钥 管 型 
云 中 数据 的 生成 与 计算 阶段 引入 集 ! 

















的 数据 被 泄露 ， 并 支持 对 计算 结果 





























段 ， 提 出 一 种 基于 客户 端的 隐私 管理 工具 来 支持 用 户 控制 自 
自 加 密 和 完全 硬盘 加 密 方法 对 虚拟 机 映像 及 组 成 映像 的 文件 中 的 加 




















JH; Kirch 等 人 提出 可 利用 
密 数据 实行 保护 ol 
6， 应 用 访问 层 安全 保护 问题 
应 















































的 特权 会 对 用 户 的 数据 隐私 造成 严 





























EE 威胁 。 为 防止 云 服务 提供 
特殊 的 加 密 和 管理 方式 。 它 既 要 允许 多 用 户 之 间 的 
架构 。 比 如 : Roy 等 人 四 在 
信息 流 控 制 和 差分 隐私 保护 技术 ， 防 止 计算 过 程 中 非 授 权 
的 自动 解密 ; Bowers 等 人 外 针对 云 中 数据 的 存储 和 使 用 阶 


同步 ， 并 通过 计算 比较 不 同 数 据 段 之 间 的 散 列 值 来 检测 数据 




































































算 服务 。 
针对 应 用 访问 
手段 。 
(1) 身份 认证 
认证 的 实现 方式 多 种 多 样 ， 如 基 了 












































身份 认证 是 系统 安全 的 第 
用 户 名 口令 、 基 








层次 的 安全 保护 问题 ， 需 要 考虑 身份 认证 、 
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访问 控制 与 数据 保护 等 安全 


己 的 敏感 信息 在 云端 的 存储 和 使 








访问 层 是 云 计算 服务 供给 系统 与 外 界 交 互 的 通道 。 它 按照 不 同 的 业务 需求 提供 不 同 
的 应 用 服务 访问 接口 ， 授 权 用 户 则 通过 这 些 接口 





给 系统 进而 访问 和 使 用 云 计 


防线 。 对 于 云端 应 用 的 使 用 者 来 i 
F 码 和 基于 证 























， 身 份 
书 。 无 论 如 何 ， 
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本 原则 是 应 当 保 证 认 训 
数据 拥有 者 在 需要 与 


(2) 访问 控制 








FE 级 别 与 数据 和 应 用 的 安 








全 性 需求 一 致 


























现 。 目 前 主流 的 方式 是 将 访问 控制 策略 集成 到 访问 URL 中 ， 并 由 拥有 者 提供 






































享用 户 。 


共享 用 户 在 规定 的 时 间 范 围 











内 使 用 该 URL 访问 数据 资源 。 











(3) 数据 保护 “数据 保护 为 一 个 广义 的 概念 ， 通 常 包括 以 下 几 个 方面 : 


密 ， 保 护 数据 不 被 未 授权 的 用 户 访问 ; 外 保证 数据 能 被 授权 用 户 访问 ; © 使 


数据 的 完整 性 ，@ 采用 水 印 技术 ， 支 持 数据 使 用 追踪 。 








3.2 网络 级 安全 


3.2.1 数据 的 保密 性 


云 计算 平台 的 数据 ， 无 论 其 处 于 存储 、 运 行 或 网 络 传输 9 




















保密 性 。 


证 





保证 数据 的 保密 性 ， 
件 系统 加 密 ， 确 保 云 服 务 提供 
离 ， 避 免 数 据 在 运行 时 没 他 人 窥视 或 更 改 ，@) 采用 传输 层 加 密 和 网 络 























的 任何 一 个 状态 ， 


他 用 户 共享 数据 的 时 候 ， 必 须 有 安全 的 方式 来 实 











签名 ， 授 权 给 


^ 





QD 通过 数据 加 
j 验 证 码 ， 文 持 




















系统 都 要 保 





可 以 采取 的 措施 主要 包括 : O 对 数据 进行 存储 隔离 






































、 存 储 加 密 和 文 


商 无 法 查看 或 更 改 用 户 数据 ，@ 采取 虚拟 机 隔离 和 操作 系统 隔 











E 








， 保 证 数据 在 网 








上 或 云 内 传输 过 程 中 不 被 其 他 人 查看 或 更 改 。 
在 云 计 算 环 境 中 ， 数 据 隔离 机 制 可 以 防止 其 他 用 户 对 数据 的 访问 ， 也 要 防止 服务 提 









































































































































供 者 内 部 的 数据 泄露 。 云 计算 中 数据 加 密 的 常用 方式 是 ， 在 用 户 端 使 用 用 户 密 钥 进行 数 
据 加 密 ， 然 后 上 传 到 云 计 算 的 环境 中 ， 之 后 使 用 时 再 进行 解密 ， 吕 免 将 数据 加 密 后 存放 
在 物理 介质 上 。 
3.2.2 ”认证 授权 和 访问 控制 

访问 控制 是 解决 云 计 算 中 用 户 数据 隐私 性 保护 的 关键 技术 之 一 。 它 能 够 根据 安全 策略 限 
制 对 云 中 数据 的 非法 访问 ， 保 证 用 户 存放 在 云 计算 平台 中 的 数据 安全 。 

通过 集中 的 身份 和 访问 管理 ， 采 用 适当 的 访问 控制 ， 去 用 户 能 够 用 一 种 标准 的 方法 来 保 




































































作 ， 从 而 满足 在 安全 上 的 需要 ， 


















































认证 授权 和 访问 





















































可 能 跨越 多 种 环 





护 影响 数据 安全 的 操 避免 访问 风险 。 云 用 户 的 
控制 措施 需要 具备 如 下 能 力 : 
D 身份 管理 。 在 用 户 生 命 周 期 中 ， 有 效 地 管理 用 户 的 身份 和 访问 资源 的 权限 。 
2) 访问 授权 。 在 用 户 生命 周期 中 ， 提 供 随 时 随地 的 访问 。 用 户 生命 周期 
境 和 安全 域 ， 可 以 通过 集中 的 身份 、 访 问 、 认 证 和 审查 ， 监 测 、 管 理 并 降低 吴 





风险 。 
3) 权限 收回 。 















































云 计算 系统 需要 








主体 的 权限 后 ， 主 体 

















kk 备 将 权限 从 主体 收回 的 功能 ， 这 样 才能 


了 对 客体 进行 越权 访问 。 


份 识别 和 访问 的 


防止 在 客体 撤销 


4) 访问 检查 。 云 计算 系统 需要 通过 访问 检查 功能 模块 来 实施 整个 系统 的 访问 控制 ， 允 许 
合法 的 访问 ， 阻 止 非法 的 访问 ， 进 行 授权 和 权限 收回 。 
3.2.3 ”网 络 的 安全 性 和 隔离 性 

云 计算 主要 取决 于 互联 网 和 远程 计算 机 或 服务 器 在 维护 运行 各 种 应 用 程序 的 数据 。 网 络 
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来 上 传 所 有 信息 。 同 时 ， 它 提供 虚拟 资源 、 高 带宽 和 软件 以 满足 消费 者 的 需求 。 
云 计算 的 网 络 结构 面临 各 种 攻击 ， 主 要 类 型 有 SQL 注入 攻击 、 浏 览 器 的 安全 问题 、 泛 洪 

攻击 和 不 完整 的 数据 删除 等 。 可 以 通过 以 下 网 络 技术 保证 网 络 的 安全 性 和 隔离 性 : 
1) VLAN。 在 数据 中 心 内 部 隔离 不 同 的 应 用 和 用 户 程序 ， 确 保 用 户 数据 不 被 其 他 用 户 
获取 ， 但 网 络 管理 人 员 还 是 可 以 看 到 所 有 的 网 络 数据 ， 因 此 这 种 方法 不 能 保证 用 户 数据 的 


保密 性 。 





2) VPN。 虚 拟 专用 网 络 将 多 个 分 布 的 计算 机 上 














成 一 个 用 户 的 私有 









































网 络 ， 采 用 这 种 方式 可 以 保证 


3.3 ”虚拟 化 技术 及 其 安全 


虚拟 化 技术 由 












































算 ， 

提供 相应 的 服务 。 

3.3.1 ”虚拟 化 技术 概述 
1. 发 展 历程 





于 其 在 提高 基 耐 
领域 越 来 越 广泛 ， 如 服务 整合 、 





es 
资源 整合 、 



































日 一 个 私有 的 经 过 加 密 的 网 络 连 接 起 来 ， 形 
用 户 数据 传输 安全 性 。 


设施 可 靠 性 和 提升 资源 利用 效率 等 方面 的 巨大 优势 ， 其 应 


系统 安全 和 分 布 式 计算 等 。 特 别 是 新 兴起 的 云 计 











更 需要 虚拟 化 技术 的 支撑 。 目 前 ， 几 乎 所 有 的 公有 云 服务 提 供 商都 是 通过 虚拟 技术 向 用 户 





虚拟 化 技术 是 伴随 着 计算 机 技术 的 产生 而 出 现 的 。 在 计算 机 技术 的 发 展 历程 中 ， 虚 拟 化 


技术 一 直 扮演 着 重要 的 4 
虚拟 化 技术 中 的 起 源 最 早 可 以 追溯 到 1959 年 ， 











if. 






































计算 机 科学 家 Christopher Strachey 发 表 的 


一 篇 名 为 “Time Sharing in Large Fast Computers”( 大 型 高 速 计算 机 中 的 时 间 共 享 ) 的 学 术 论 
文 [站 。 他 在 文中 提出 了 虚拟 化 的 基本 概念 ， 这 篇 文章 被 认为 是 虚拟 化 技术 的 最 早 论 述 ， 可 以 


说 虚拟 化 作为 一 个 概念 被 正式 提 
此 后 的 十 几 年 ， 虚 拟 化 技术 








[I 
I] 








| 











了 


EXE 











自 此 迎 来 了 虚拟 化 新 纪元 的 开始 。 
初始 发 展 阶 段 。 直 到 20 世纪 60 年 代 ，IBM 公司 为 其 











System/360 Model67 大 型 机 发 明了 一 种 虚拟 机 监控 器 (VMM) 技术 由。 这 种 技术 将 一 台大 


型 计算 机 划分 为 多 个 逻辑 实例 ， 每 个 多 和 辑 实例 运行 一 个 操 
机 上 同时 运行 多 个 操作 系统 ， 而 

















在 接 下 来 的 十 年 间 ， 由 于 计算 机 硬件 成 本 的 显著 
源 而 设计 的 虚拟 化 技术 受到 的 关注 度 有 所 
20 世纪 70 年 代 后 ， 随 着 计算 机 技术 
机 和 UNIX 服务 器 转移 。IBM、HP 和 SUN 


样 。 






































j 户 在 使 


























的 发 


^k 
^ 











日 这 些 操作 系统 

















人 下降， 当初 为 了 
降低 ， 但 在 高 档 服务 器 











ERR, TESI 
时 就 像 在 真实 的 物理 设备 上 使 用 ] 
通过 这 种 技术 ， 用 户 可 以 充分 地 利用 昂贵 的 大 型 机 资源 ， 降 低 了 大 型 机 资源 的 








有 户 可 以 在 一 台 计算 








[= 





用 























7, 


公司 都 将 虚拟 化 技术 引入 各 自 的 高 端 精 简直 











展 和 市 场 竞 争 的 要 求 ， 大 型 机 的 技术 开始 





< 部 昂贵 计算 机 便 件 资 
FP 仍 继续 存在 。 











句 小 型 


BAAB 
HAE 

















RISC 服务 器 和 小 型 计算 机 中 。 由 于 不 同 广 商 的 产品 和 技术 不 能 很 好 地 兼容 ， 这 使 得 虚拟 化 技 














术 的 发 








1998 年 








展 进 程 有 所 变 慢 ， 
2000 年 以 前 ，x86 架构 上 并 没有 
， 些 业 于 麻 省 理 ] 
察觉 到 计算 机 资源 的 使 用 率 比较 低 ， 因 
及 Edouard Bugnion 等 人 成 立 VMware 公司 ， 专 注 提升 硬 伯 


a 











公众 关注 度 也 有 所 降低 中 。 





虚拟 化 产品 ， 而 虚拟 化 在 当时 也 绝 非 
[学 院 (Massachusetts Institute of Technology, MIT) 的 Diane Greene 
此 和 Mendel Rosenblum, Scott Devine, Edward Wang 





























FE 流 技术 。 但 早 在 


























FARBE 


究 和 产品 


发 。1999 年 ， 
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VMware 公司 提出 了 一 套 以 VMM XH 
PC 服务 器 
个 人 计算 机 领域 3 


























F 台 实现 虚拟 化 。 这 是 x86 架构 上 的 第 一 











日 





重新 得 


:到 快速 发 
































2003 F, X 








时 


超过 了 物理 机 。 
随 着 云 计算 的 兴起 ， 虚 拟 化 技术 走 进 了 一 个 全 面 易 盛 的 时 期 。 虚 拟 机 技术 是 云 计算 系统 
中 的 核心 关键 技术 之 一 。 它 是 可 以 将 各 种 计算 及 存储 资源 充分 整合 和 高 效 利用 的 关键 技术 。 通 


过 虚拟 化 了 
I. y 





基 而 














F 段 将 系统 





最 新 半 虚 拟 化 技术 实现 的 
来 。Xen 的 推出 使 得 虚拟 化 技术 的 研究 和 应 用 更 加 普 
生产 商 Intel 和 AMD XTE 
技术 改变 了 x86 架构 对 虚拟 化 支持 的 效能 ，x86 架构 | 
平台 之 一 。 


司 跨 进 2006 年 ， 可 以 说 是 进入 了 虚拟 化 技术 的 爆发 期 。2009 年 ， 虚 拟 机 























2. 虚拟 化 的 优势 
虚拟 化 技术 所 了 


WAS 











(1) 提高 资源 利用 率 
机 器 而 不 牺牲 性 能 ， 














已 有 资源 的 


利用 率 。 
(2) 降低 成 本 

















层 云 计算 5 





这 可 以 使 企业 在 不 增加 硬 伯 








网 络 及 存储 管理 

















等 方面 








本 ， 或 者 可 以 方便 地 实 : 
从 而 通过 关 停 无 负载 的 


的 ， 就 像 它们 是 不 同 的 4 
用 程序 之 所 以 远 优 于 在 传统 的 非 虚拟 化 系统 中 运行 
传统 的 解决 方案 多 为 采 月 
统 、 两 套数 据 库 和 双 机 热 备 软件 等 ) 的 方式 来 保 记 
的 成 本 为 代价 的 。 通 过 虚拟 化 ， 以 软件 的 方式 实现 高 可 








G) MA BAE 








775 











P 心 的 软 从 





展 。 














F 进 行 了 修改 ， 分 别 推出 支持 人 硬 伯 


W Xen HEH 









































于 虚拟 化 技术 实现 了 资源 的 逻辑 
都 有 者 突出 的 优势 ， 如 可 以 降低 管理 


岗 虚 拟 机 在 物 到 























机 器 而 


降低 运营 成 本 。 








拟 机 可 以 2 











(4) 高 可 用 性 




















间 降 至 最 低 。 在 充分 利 月 


Hos 





H 
| 入 


动 普通 文件 一 样 简 
(6) 便于 管理 
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HBUG P TESERE 7] B WU TRE P, 
Vio ss HESSE PHP He UA BR 
器 上 来 运行 ， 从 而 以 相对 较 低 的 成 本 刀 
(5) 封装 ”所 有 与 虚拟 机 相关 的 
单 、 方 便 。 


计算 机 一 


此 享 一 侣 计算机 的 4 











p 





























] 象 和 统 











上} 解决 方案 中 。 这 套 方案 在 全 虚拟 化 模式 
款 虚 拟 化 商用 软件 。 虚 拟 机 技术 从 此 进 


上 ， 并 在 数据 中 心 用 户 条 
。2005 年 和 2006 年 ， 
虚拟 化 技术 的 产品 








TH 
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IH 














f 体 中 流行 
两 大 CPU 
0， 这 项 











成 为 虚拟 化 技术 发 挥 作 月 





Mey 

















bP 各 种 异 构 的 硬件 资源 转换 成 为 灵活 统一 的 虚拟 资源 池 ， 从 而 形成 云 计 算 
齐 平 台 和 云 服务 提供 相应 的 支撑 。 














多 的 服务 能 力 ， 


一 表示 。 





HE 


E 








的 重 





O 


Ps 











的 效益 与 价值 是 多 方面 的 。 具体 来 讲 ， 主 要 包括 以 下 儿 点 中 1; 
通过 虚拟 化 技术 可 以 将 原本 一 台 机 器 的 资源 分 配给 数 台 虚拟 化 的 
资源 的 情况 下 提供 更 





即 提 升 了 


因此 ， 在 服务 器 、 








复杂 度 ， 从 而 有 效 地 控制 管理 
机 之 间 的 动态 迁移 ， 进 而 实现 计算 资源 或 任务 的 

















样 。 因 此 ， 在 可 月 














HER 
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HA 


AE WH ? 





WIRYA, (EENT EZ M E EE M n 








UZAE 


方面 ， 虚 拟 环境 

















的 应 














Ü 





Jf 


EY. p 





























5j 


jfi 






































E 最 大 程度 上 


BE 


























通过 虚拟 化 可 以 集中 式 地 管理 
活动 态 地 调整 和 分 配 虚拟 机 的 运算 资源 ， 使 一 个 管理 
而 不 会 造成 更 大 的 负担 。 
3. 虚拟 化 的 概念 

尽管 虚拟 化 已 经 成 为 YT 界 的 热门 话题 之 一 ， 但 











准 。 


fi 
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FE 实 践 中 ， 可 以 从 三 义 与 狭义 P 



































保证 不 
内 容 都 存储 在 文件 5 


司 应 用 系 


























HAI RE 





P. RAMES 


员 可 以 轻松 地 管理 


连 





统 的 连续 全 





E. 降 1 














5 离 就 是 一 个 重要 的 原 
日 双 机 热 备 〈 需 要 购买 两 台 服 务 器 、 两 套 操作 系 
[业务 的 连续 性 ， 但 是 这 种 方式 是 以 付 
的 要 求 ， 可 以 把 意外 宕 机 的 | 
在 多 台 服 务 器 上 部 署 虚 拟 化 软件 后 ， 即 
巴 该 服务 器 的 应 用 系统 切换 到 其 人 


运行 的 应 
i. 


LJ 
Li 


次 复 时 





[j Ed FEL 
O EJ DA 








也 服务 


氏 了 风险 。 
虚拟 机 就 像 复 和 





HA% 


和 监控 所 有 的 物理 服务 器 和 虚拟 机 ， 灵 
E EG 以 前 更 多 的 设备 


目前 关于 虚拟 化 的 定义 并 没有 统一 的 标 
E 解 虚拟 化 概念 。 在 计算 机 科学 领域 ， 广 义 上 的 














虚拟 化 是 指 计算 元 件 在 虚拟 的 基 而 
源 的 解决 方案 号。 狭义 上 的 虚 
凡是 把 一 种 形式 的 资源 以 另 一 种 形式 呈 

从 本 质 上 讲 ， 虚 拟 化 就 是 将 物理 


















































上 上 而 不 是 真实 的 基础 上 运行 ， 是 一 个 为 了 简化 管理 
拟 化 是 指 在 计算 机 上 模拟 运行 多 个 操作 系统 的 技术 。 可 
现 出 来 的 方法 都 可 以 称 为 虚拟 化 。 
实体 资源 转换 为 逻辑 上 可 以 管理 的 资源 ， 以 打破 物理 











E、 优 化 资 
以 说 ， 





TA 
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体 间 不 可 切割 的 障碍 。 换 言 之 ， 虚 拟 化 就 是 一 种 资源 管理 技术 ， 它 将 人 硬件、 软件 和 存储 等 物理 
资源 虚拟 成 多 个 虚拟 资源 提供 给 不 同 的 系统 使 用 ， 以 提高 资源 利用 率 ， 使 得 程序 运行 在 虚拟 资 
ET, 

为 了 便于 后 面 对 虚 拟 化 技术 的 讨论 ， 这 里 首先 给 出 与 虚拟 化 技术 密切 相关 的 几 个 重要 
概念 : 


1) 宿主 机 《Host)。 虚 拟 机 监控 器 所 在 的 3 





FE 机 系统 。 


2) 客户 机 (Guest)。 运 行 在 虚拟 机 监控 器 之 上 的 虚拟 机 系统 。 


Yi A4 


运作 


ep 


3) 宿主 操作 系统 。 

4) 客户 操作 系统 。 运 行 

5) 虚拟 机 。 顾 名 思 义 ， 就 是 指 一 
可 以 运行 自己 的 操作 系统 和 应 用 程序 ， 就 





L 
rj 



































CPU、RAM、 人 硬盘 和 网 卡 等 设备 。 虚 拟 的 含义 ， 是 相对 
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的 。 
化 的 
比如 可 以 使 用 虚拟 机 中 的 硬盘 来 存储 数据 ， 
功能 都 是 由 计算 机 软件 模拟 出 来 的 。 在 使 
计算 机 之 间 有 什么 不 同 。 

6) 虚拟 机 监控 器 。 它 也 称 为 虚拟 机 管理 


ø 





里 计算 机 是 摸 得 到 、 看 得 见 的 CPU、 














H 







































































技术 ， 虚 拟 机 中 的 CPU 和 内 存 等 设备 是 看 不 见 、 摸 不 到 的 ， 但 是 我 们 可 以 使 


] 过 程 中 ， 我 们 3 


虚拟 机 监控 器 的 操作 系统 。 
在 虚拟 机 监控 器 之 
虚拟 的 计算 机 ， 是 一 种 严密 








上 的 虚拟 机 里 的 操作 系统 。 
HARKER. C 
EVEEEBL— FE, RA A OLI] EU 
我 们 日 常 使 用 的 物理 计算 机 来 讲 
人 硬盘 和 内 存 等 设备 。 而 虚拟 机 则 是 一 种 被 虚拟 
TE 
j 虚 拟 机 中 的 网 卡 来 连接 网 络 等 。 其 实 这 些 
不 会 感觉 到 虚拟 机 和 真实 的 物 
































rH 





好 像 一 台 物 3 

























































































使 
































进行 物理 实体 虚拟 化 。 然 而 ， 有 的 物理 实体 直接 支持 虚拟 化 ， 
程序 VMM 的 支持 ， 即 VMM 可 以 看 作 是 为 了 虚拟 化 而 设计 昌 
层 硬 伯 
是 虚拟 机 中 最 关键 的 组 件 ， 通 过 它 可 允许 多 个 操作 系统 和 应 

















于 后 者 ， 就 需要 虚拟 化 管理 
来 的 一 个 完整 0S， 它 可 以 对 所 有 的 底 

















4. 虚拟 化 类 别 


器 或 Hypervisor。 虚 拟 化 解决 方案 的 实质 是 要 
有 的 不 直接 支持 虚拟 化 。 对 


























LT 
Bi 























资源 如 CPU. AEM 1/O 等 进行 管理 。VMM 




















* 享 底层 的 硬件 资源 。 





程序 








按 应 用 类 别 不 同 ， 虚 拟 化 可 以 分 为 如 下 三 类 : 


1) > 


F 舍 虚拟 化 。 针 对 计算 机 和 操作 系统 的 虚拟 化 。 





2) 资源 虚拟 化 。 针 对 特定 的 系统 资源 如 存储 资源 和 网 络 资源 等 的 虚拟 化 。 网 络 虚 拟 化 是 








di^ 


指 将 网 络 的 硬件 和 软件 资源 进行 整合 ， 
里 存储 设备 提供 一 个 逻辑 视图 ， 通 过 这 个 视图 















































向 用 户 提供 虚拟 网 络 连接 的 技术 。 存 储 虚拟 化 是 指 为 物 





的 统一 迪 辑 接口 来 访问 被 整合 的 存 








BUR. 





3) 软件 虚拟 化 。 包 括 应 用 虚拟 化 和 高 级 语言 虚拟 化 。 应 用 虚拟 化 是 指 将 应 


庄 人 硬件 资源 的 














程序 和 操作 

















系统 分 离 ， 独 立 为 应 用 程序 提供 一 个 虚拟 的 运行 时 支撑 环境 。 高 级 语言 虚拟 化 则 解决 了 可 执行 





程序 在 不 同体 系 结构 计算 机 间 迁 移 的 问题 。 
我 们 通常 所 说 的 虚拟 化 主 





























fti 











要 是 指 平台 虚拟 化 ， 也 称 为 服务 器 虚拟 化 。 这 是 一 种 针对 计算 
机 和 操作 系统 的 虚拟 化 技术 ， 通 过 使 用 VMM 隐藏 特定 计算 
I 象 的 、 统 一 的 、 模 拟 的 计算 环境 ， 此 环境 被 称 为 虚拟 机 。 各 虚拟 机 之 间 通 过 负责 管理 
拟 机 的 软件 VMM 共享 CPU、 网 络 、 内 存 和 硬盘 等 物 班 








日 户 提 


Tc 


HE 
NY. 


F 台 的 实际 物理 特性 ， 为 月 



























































资源 ， 每 台 虚 拟 机 都 有 独立 的 运行 
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环境 。 


综 上 所 述 ， 服 务 器 虚拟 化 环境 由 硬件 、VMM 和 虚拟 机 三 个 部 分 组 成 ， 如 图 3-3 所 示 。 从 

















图 
H 
他 
































| 建 高 效 而 相对 独立 的 虚拟 执行 环境 ， 承 担 了 虚拟 化 的 主要 工作 。 


虚拟 化 层 (VMM) 


计算 机 系统 硬件 


图 








3-3 ”服务 器 虚拟 化 环境 的 组 成 








«| 3-3 可 知 ，VMM 是 建立 在 虚拟 机 和 人 硬件 中 间 的 一 层 监控 软件 。 它 取代 了 宿主 操作 系统 的 位 


， 负 责 对 便 件 资源 的 分 配 和 管理 ， 并 为 由 它 创 建 出 来 的 虚拟 机 提供 硬件 资源 抽象 ， 为 虚拟 机 





需要 指出 的 是 ， 在 VMM 技术 出 现 之 前 ， 虚 拟 软件 必须 是 装 在 一 个 操作 系统 上 ， 然 后 在 





5. VMM 模型 


虚拟 化 技术 的 核心 是 VMM。 根 据 VMM 在 物理 系统 


虚拟 软件 之 上 安装 虚拟 机 ， 并 在 其 




















运行 虚拟 的 系统 及 应 用 。 























实现 位 置 的 不 同 ， 将 VMM 的 实现 


方式 划分 为 独立 监控 器 模型 (Stand-alone Hypervisor VMMs ) 、 主 机 模型 (Hosted-based 


VMMs) 和 混合 模型 CHydrid VMMs) 三 种 情况 ， 如 
(1) 独立 监控 器 模型 ”如 图 
的 硬件 资源 。 同 时 ，VMM 还 负责 创建 VM， 并 使 客户 OS 运行 在 VM ! 























虚拟 环境 的 创建 和 管理 











由 于 VMM 具有 最 高 特权 级 ， 并 向 虚拟 机 内 的 客户 操作 系统 提供 
此 ， 当 客户 操作 系统 访问 硬件 时 ，VMM 会 截获 请 求 ， 使 用 自己 的 驱动 程序 完成 请 求 。 
为 VMM 同时 具 人 硬件 资源 的 管理 功能 和 虚拟 化 功能 ， 故 此 模型 具有 高 效 的 虚拟 化 1 
能 。 在 安全 性 方面 ，VM 的 安全 性 只 依赖 
备 驱动 程序 ， 因 此 VMM 的 实现 较为 复杂 。 





因 | 








o 








3-4 所 示 ，VMM 


























的 虚拟 化 。 Hyper-V 水 上 


的 就 是 独立 监控 器 模型 。 











(2) 主机 模型 ”如 





ERRE. VMM 不 需要 包含 便 伯 
实现 IO 设备 的 虚拟 化 ， 而 CPU 和 存储 的 虚拟 化 则 
此 模型 的 优点 是 VMM 可 以 充分 利 


WOES. HY 
对 硬件 的 访问 不 仅 要 经 








低 ， 功 能 上 也 有 一 定 影响 。 此 模型 主要 用 在 桌面 级 虚拟 化 ， 如 





的 就 是 主机 模型 。 


G) 混合 模型 ”如 图 3-4 所 示 ， 混 合 模 型 集合 了 上 述 两 利 
运行 在 裸 机 上 ， 拥 有 所 有 硬件 资源 ， 具 有 最 高 站 
存 和 中 断 等 的 请 求 。 与 独立 监控 器 模型 的 区 别 在 于 ; 
向 客户 操作 系统 提供 一 部 分 基本 的 虚拟 服务 ， 而 将 IO 设备 的 控制 权 交 由 一 个 运行 在 管理 
内 的 管理 OSs VMM 负责 CPU 和 存储 的 虚拟 化 ，IO 设备 的 虚拟 化 | 




















完成 。 
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ii VMM 














现 有 操作 系统 的 设备 驱动 程 
，VM 的 安全 性 依赖 于 VMM 和 宿主 操作 系统 的 安全 。 
， 还 要 经 过 宿主 操作 系统 。 因 此 ， 此 模型 的 缺点 是 性 能 比较 
PC 的 虚拟 化 。Virtual PC 采用 





图 3-4 所 示 。 
直接 运行 在 裸 机 











， 可 以 掌控 所 有 底层 











于 VMM 的 安全 。 但 是 ， 由 于 
此 模型 主要 应 用 在 企业 级 











， 即 VMM 负责 

















抽象 的 底层 硬件 ， 因 


























生 
VMM 需要 提供 硬件 设 
虚拟 化 ， 如 大 型 服务 器 











图 3-4 所 示 ， 主 机 模型 下 的 VMM 是 作为 一 个 应 用 程序 运行 在 宿主 操 











的 驱动 ， 可 以 利用 宿主 操作 系统 提供 





的 设备 驱动 和 底层 服务 














VMM 独立 完成 



































的 特权 级 ， 负 责 处 到 











模式 的 优点 。VMM 依然 是 直接 





F, ERR WEKE UO 
| 于 客户 操作 系统 


















































混合 模型 的 VMM 是 轻 量 级 的 ， 























客户 操作 系统 的 CPU、 内 
只 负责 
VM 

















VMM 和 管理 OS 共同 














Admin VM 


Admin OS 





VMM | aos | OS [Lv | Zi 


计算 机 硬件 计算 机 硬件 计算 机 硬件 


独立 监视 器 模型 








混合 模型 可 以 充分 利用 现 有 操作 系统 的 VO 设备 驱动 ， 这 样 就 无 须 在 VMM EH 





备 驱 动 程序 ， 即 混合 模型 的 虚拟 化 效 























主机 模型 混合 模型 





图 3-4 VMM 的 三 种 模型 




















FA UO x 


率 较 高 。 如 果 对 管理 OS 的 权限 控制 得 当 ， 虚 拟 机 的 安全 
































只 依赖 于 YMM。 由 于 管理 OS 运行 于 VM 之 上 ， 当 需要 管理 OS 提供 的 服务 时 ，VMM 需要 


切换 到 管理 OS， 这 样 就 产生 上 下 文 切换 的 时 间 浪 费 。 此 模型 主要 用 在 普通 服务 器 或 高 档 PC 
的 虚拟 化 。Xen 采用 的 就 是 混合 模型 。 




















3.32 ”服务 如 虚拟 化 关键 技术 















































和 应 用 程序 等 抽象 成 逻辑 资源 ， 让 一 

样 可 以 不 再 受 限 于 物理 上 的 界限 ， 而 

的 资源 池 ， 从 而 提高 资源 的 利用 率 ， 
1. 服务 器 虚拟 化 概述 




















































































































简化 系统 管理 ， 实 现 服 务 器 整合 。 


























便 。 当 采用 服务 器 虚拟 化 技术 后 ， 便 



































这 种 传统 意义 的 服务 器 工作 模式 造成 物理 


























多 数 现 有 的 数据 中 心 都 是 采用 服务 器 虚拟 化 技术 构建 的 。 关 于 服务 器 虚拟 化 的 概念 ， 各 
个 广 商 有 自己 不 同 的 定义 ， 然 而 其 核心 思想 是 一 致 的 ， 即 将 服务 器 物理 资源 如 便 件 、 操 作 系 统 
台 服 务 器 变 成 几 人 台 甚 至 上 百 台 相互 隔离 的 虚拟 服务 器 ， 这 


是 让 CPU、 内 存 、 硬 盘 和 IO 等 硬件 变 成 可 以 动态 管理 





服务 器 虚拟 化 将 系统 虚拟 化 技术 应 用 于 服务 器 上 ， 可 以 将 一 台 服 务 器 虚拟 成 多 个 服务 器 
使 用 。 例 如 ， 有 多 台独 立 的 物理 服务 器 ， 每 台 服 务 器 上 都 分 别 运行 了 不 同 的 操作 系统 及 应 用 ， 


服务 器 的 资源 利用 率 低 ， 管 理 复杂 ， 维 护 也 非常 不 





可 以 在 一 台 物 理 服务 器 上 虚拟 出 若干 个 虚拟 服务 器 ， 同 时 





























服务 器 虚拟 化 也 为 虚拟 服务 器 提供 了 虚拟 硬件 设施 ， 并 提供 良好 的 隔离 性 和 安全 性 。 服 务 器 虚 


拟 化 通过 虚拟 化 软件 向 上 提供 对 硬件 设备 的 抽象 和 对 虚拟 服务 器 的 管理 。 服 务 器 虚拟 化 的 实现 
方式 主要 有 两 种 。 其 中 寄宿 虚拟 化 是 完全 依赖 于 宿主 操作 系统 ， 性 能 较 低 ， 是 容易 实现 的 方 

















































































































gr mE x ND 

















际 环境 中 。 


在 没有 使 用 虚拟 化 服务 器 前 ， 往 往 每 个 服务 器 独立 提供 和 承担 一 个 功能 ， 采 





务 器 后 ， 可 以 在 一 台 物 理 服务 器 上 运行 多 个 虚拟 服务 器 ， 同 时 提供 之 前 这 些 服务 器 





和 服务 。 
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; 原生 虚拟 化 则 完全 脱离 了 宿主 操作 系统 ， 性 能 较 高 ， 是 不 易 实现 的 方式 。 虚 拟 机 监视 器 负 
对 虚拟 机 提供 硬件 资源 抽象 ， 为 客户 操作 系统 提供 运行 环境 ; 
， 直 接 运 行 在 人 硬件 之 上 ， 其 实现 直接 受 底 层 体系 结构 的 约束 。 无 论 采 用 何 种 方式 实现 
拟 化 ， 它 都 具有 多 实例 、 隔 离 性 、 封 装 性 及 高 性 能 四 个 特性 ， 以 保证 可 以 被 有 效 地 运 


虚拟 化 平台 则 负责 虚拟 机 的 托 


服务 器 
用 于 实 





虚拟 服 


的 所 有 功能 
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2. 服务 器 虚拟 化 关键 技术 

从 本 质 上 讲 ， 服 务 器 虚拟 化 主要 是 对 三 类 基础 硬件 资源 (CPU. ATE VO 设备 ) 进行 虚 
拟 化 。 下 面 介 绍 相 关 服 务 器 虚拟 化 必 备 的 三 种 资源 虚拟 化 : CPU 虚拟 化 、 内 存 虚拟 化 和 1/0 
虚拟 化 。 

(1) CPU 虚拟 化 “CPU 虚拟 化 是 指 将 物理 机 上 的 一 个 物理 CPU， 在 同一 时 间 段 内 按照 一 
定 的 规则 为 每 一 台 虚 拟 机 模拟 出 一 个 或 者 多 个 虚拟 CPU。 由 于 CPU 的 独占 性 ， 一 个 物理 CPU 
只 能 处 理 一 个 虚拟 CPU 的 指令 ， 导 致 在 同一 时 刻 一 个 物理 CPU 不 能 对 应 多 个 虚拟 CPU 的 指 
令 ， 但 是 一 段 时 间 内 通过 时 间 片 轮转 算法 或 者 CPU 调度 算法 ， 可 以 使 一 个 物理 CPU 上 运行 多 
个 虚拟 CPU。VMM 在 中 间 起 了 调度 和 协调 资源 分 配 的 作用 ， 即 VMM 在 虚拟 机 之 间 进 行 切 
换 时 起 协调 和 调度 资源 的 作用 ， 同 时 负责 保存 和 恢复 现场 信息 。 显 然 ，VMM 如 何 合理 又 高 效 
率 地 调度 每 一 个 虚拟 CPU 资源 成 为 关键 问题 。 

CPU 虚拟 化 面临 的 难题 是 操作 系统 要 在 虚拟 化 环境 中 执行 特权 指令 功能 。 目 前 的 操作 系 
统 大 多 基于 x86 架构 。 根 据 最 初 的 设计 ，x86 上 的 操作 系统 需要 直接 运行 在 物理 机 上 ， 完 整 拥 
有 整个 底层 物理 硬件 。 如 图 3-5 所 示 ， 对 于 CPU 而 言 ，x86 架构 提供 了 四 种 运行 级 别 ， 分 别 
Jj Ringo (指令 层级 )、Ring1、Ring2 和 Ring3。 通 常 ， 用 户 级 的 应 用 一 般 运 行 在 Ring3 级 别 ， 
操作 系统 需要 直接 访问 内 存 和 硬件 ， 可 执行 任何 指令 如 修改 CPU 状态 的 指令 ， 只 能 在 Ring0 
级 别 中 完成 。 



































































































































































































































图 3-5 x86 架构 虚拟 化 前 
为 了 虚拟 化 x86 架构 ， 要 求 操作 系统 与 底层 硬件 之 间 加 入 虚拟 层 ， 由 虚拟 层 来 创建 和 管 























里 虚拟 机 ， 进 行 共享 资源 分 配 。 而 Ring0 只 能 运行 在 虚拟 层 ， 这 导致 操作 系统 的 特权 指令 不 能 
直接 运行 在 硬件 上 ， 操 作 系 统 如 中 断 处 理 等 特权 操作 便 不 能 完成 ， 进 而 增加 了 基于 x86 架构 的 
CPU 虚拟 化 的 实现 难度 。 
当前 CPU 虚拟 化 技术 的 方法 主要 分 为 半 虚 拟 化 和 全 虚拟 化 。 全 虚拟 化 通过 二 进 制 代码 动 
态 翻译 技术 来 解决 操作 系统 特权 指令 的 使 用 。 
(2) 内 存 虚拟 化 ”内 存 虚拟 化 就 是 把 物理 机 的 内 存 进 行 统一 管理 ， 虚 拟 封 装 成 虚拟 机 所 
使 用 的 虚拟 内 存 ， 以 提供 给 每 个 虚拟 机 使 用 ， 将 虚拟 内 存 空间 独立 提供 给 虚拟 机 中 的 进程 。 
虚拟 内 存 的 实现 在 于 对 物理 内 存 进行 管理 ， 按 虚拟 层 对 内 存 的 需求 划分 物理 内 存 ， 建 立 
虚拟 层 所 需 内 存 地 址 与 物理 机 内 存 地 址 的 映射 关系 ， 保 证 虚拟 层 的 内 存 访问 在 虚拟 内 存 和 物理 
机 内 存 的 连续 和 一 致 。 映 射 关 系 的 技术 实现 是 内 存 虚 拟 化 的 核心 。 
内 存 与 CPU 同等 重要 ， 访 问 次 数 同等 频繁 。 因 此 内 存 虚拟 化 效率 的 高 低 对 虚拟 机 性 能 































































































































































































有 着 重大 影响 。 由 于 内 存 通常 采用 复杂 的 存储 体系 结构 ， 因 此 ， 内 存 虚拟 化 要 比 CPU 虚拟 化 
更 具 挑 战 性 。 对 于 这 个 问题 的 解决 ， 常 用 技术 是 影子 页 表 技 术 和 页 表 写 入 法 。 









































影子 页 表 技 术 就 是 让 VMM 维护 一 个 虚拟 机 的 内 存 管理 数据 结构 的 影子 页 表 。 影 子 页 表 
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数据 结构 使 VMM 精确 地 控制 机 器 内 存 的 页 表 给 虚拟 机 使 用 。 当 操作 系统 在 虚拟 机 中 运行 

时 ， 需 要 建立 页 表 的 一 个 映射 ，VMM 负责 检测 变化 ， 并 且 建 立 相 | 

指向 硬件 内 存 中 实际 页 表 的 位 置 。 当 虚拟 机 正在 执行 时 ， 硬 件 使 用 影子 页 表 进 行内 存 转换 ， 

便 VMM 总 是 能 控制 每 个 虚拟 机 使 用 的 内 存 。 
页 表 写 入 法 是 虚拟 机 操作 系统 创建 一 个 页 表 ， 并 通过 VMM 注册 该 页 表 。 虚 拟 机 操作 系 

统 在 自己 的 页 表 中 得 到 真实 的 机 器 内 存 地 址 ， 然 后 每 一 次 修改 页 表 时 ， 调 入 虚拟 机 管理 器 更 新 

页 表 。 










































































































































































目前 ，x86 内 有 一 个 内 存 管 理 模块 MMU 和 转换 旁 路 缓存 TLB 〈 块 表 里 面 存放 的 是 一 些 
虚拟 地 址 到 物理 地 址 的 转换 表 。 当 处 理 器 要 在 主 内 存 寻 址 时 ， 不 是 直接 在 内 存 的 物理 地 址 里 查 
找 ， 而 是 通过 一 组 虚拟 地 址 转换 到 主 内 存 的 物理 地 址 ，TLB 就 是 负责 将 虚拟 内 存 地 址 翻译 成 
实际 的 物理 内 存 地 址 ， 而 CPU 寻 址 时 会 优先 在 TLB 中 进行 寻 址 )， 通 过 MMU 和 TLB 来 优化 
虚拟 内 存 的 性 能 。 为 了 在 一 台 机 器 上 运行 多 个 虚拟 机 ， 需 要 增加 一 个 新 的 内 存 虚拟 化 层 ， 即 必 
须 虚 拟 MMU 来 支持 客户 操作 系统 。 客 户 操作 系统 继续 控制 虚拟 地 址 到 客户 内 存 物 理 地 址 的 
映射 ， 但 是 客户 操作 系统 不 能 直接 访问 实际 机 器 内 存 。VMM 负责 映射 客户 物理 内 存 到 实际 机 
器 内 存 ， 通 过 影子 页 表 来 加 速 映射 。 当 客户 操作 系统 更 改 了 虚拟 内 存 到 物理 内 存 的 映射 表 ， 
VMM 也 会 更 新 影子 页 表 来 启动 直接 查询 。MMU 虚拟 化 引入 了 虚拟 化 损耗 ， 第 二 代 的 硬件 辅 
助 虚拟 化 将 支持 内 存 的 虚拟 化 辅助 ， 从 而 大 大 降低 因此 而 带 来 的 虚拟 化 损耗 ， 让 内 存 虚 拟 化 更 
高 效 。 





























































































































































































































(3) VO 虚拟 化 ”除了 CPU 和 内 存 之 外 ， 整 个 物理 机 和 LO 都 需要 虚拟 化 ， 把 物理 设备 统 
管理 ， 封 装 成 多 个 虚拟 设备 给 虚拟 机 使 用 ， 以 响应 虚拟 机 的 设备 访问 和 IO 请 求 。 

与 CPU 虚拟 化 和 内 存 虚拟 化 相 比 ，LIO 虚拟 化 具有 异 构 性 强 和 内 部 状态 不 易 控 制 等 特 
点 。 目 前 IO 虚拟 化 方法 除了 和 其 他 虚拟 化 技术 一 样 拥 有 全 虚拟 化 和 半 虚 拟 化 两 种 虚拟 化 方法 
外 ， 还 有 硬件 虚拟 化 方法 。 

基于 全 虚拟 化 的 完全 控制 结构 ， 让 客户 操作 系统 的 管理 层 看 到 的 是 一 套 完整 的 VO 设备 ， 
但 是 客户 机 每 一 次 操作 设备 时 都 必须 陷入 虚拟 机 管理 器 ， 让 其 进行 控制 调度 。 这 导致 虚拟 机 管 
理 器 的 设计 非常 复杂 ， 且 无 法 应 对 设备 的 快速 更 新 。 

半 虚 拟 化 方法 是 将 部 分 系统 调用 权 交 给 客户 机 ， 因 此 其 在 每 一 个 客户 操作 系统 中 都 安装 
了 一 个 特殊 的 驱动 程序 ， 该 程序 并 不 将 客户 操作 系统 的 VO 请 求 交 给 VMM， 而 是 提交 给 特权 
域 。 特 权 域 的 部 分 功能 类 似 于 VMM， 它 可 以 直接 访问 物理 IO 设备 。 但 是 客户 机 操作 系统 与 
特权 域 的 各 种 数据 和 指令 通信 仍然 在 VMM 的 控制 下 完成 。 采 用 半 虚 拟 化 方法 不 需要 VMM 
直接 控制 IO 设备 ， 因 此 简化 了 设计 ， 虚 拟 化 系统 的 性 能 也 得 到 了 提升 。 


3.3.3 Xen 虚拟 化 


Xen 是 一 个 基于 x86 架构 的 开源 虚拟 机 软件 。 目 前 ，Xen 已 应 用 于 许多 不 同 的 商业 和 开源 
应 用 程序 ， 如 服务 器 虚拟 化 、 基 础 设施 即 服务 及 桌面 虚拟 化 。 

1. Xen 简介 

Xen 是 由 剑桥 大 学 计算 机 实验 室 在 2003 年 发 布 的 一 球 基 于 32 位 x86 架构 的 开源 混合 模 
式 虚 拟 机 监控 器 ， 文 持 同时 运行 100 个 虚拟 机 。 此 版 本 Xen 的 设计 是 基于 半 虚 拟 化 技术 实 
现 ， 要 求 修改 客户 机 操作 系统 。 

由 于 Xen. 的 虚拟 化 技术 使 虚拟 化 领域 迈 出 了 一 大 步 ， 因 此 Xen 的 创始 人 成 立 了 他 们 
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的 公司 XenSource C H Bj EA Citrix 收购 )。 成 立 XenSource 的 目的 是 为 了 基于 Xen VMM, 为 





























技术 Intel-VT 和 AMD-V 实现 了 对 硬 们 
运行 未 经 修改 的 操作 系统 ， 即 在 硬件 虚拟 化 的 四 
Xen 虚拟 机 中 安装 无 须 进 行 任何 修改 的 Windows 操作 系统 。 这 也 














用 户 提 供 一 个 完整 的 虚拟 化 解决 方案 。 

2005 年 ，XenSource 公司 发 布 Xen 3.0， 这 是 Xen 真正 意义 | 
Xen 既 能 在 32 位 的 服务 器 上 运行 ， 同 时 该 版 本 通过 基于 Intel 和 AMD 公司 的 硬件 加 
F 虚 拟 化 的 支持 ， 大 大 提高 了 Xen 的 兼容 性 。 从 而 能 够 
有 助 下 ， 支 持 完 全 虚拟 化 技术 。 这 使 得 可 以 在 


是 第 一 个 需要 Inter VT 或 


















































AMD-V 技术 支持 的 版 本 。 


Xen 以 高 性 能 、 











众多 世界 级 软 硬 件 














境 的 虚拟 化 平台 。 比 如 Amazon EC2 就 是 基于 Xen. 
2. Xen 虚拟 化 架构 
Xen 3.0 采用 了 如 图 3-6 所 示 的 虚拟 化 架构 外。 





DomO IDD 


设备 


管理 器 





Tm 
软件 


E 
Hypelcall 
k 


在 Xen 虚拟 化 架构 中 ， 
Domain 0 简称 为 Dom0) 称 为 特权 虚拟 域 ， 




















客户 应 "m pin 2 H 
用 程序 客户 应 用 程序 客户 应 用 程序 


已 修改 客户 操作 系统 | | 已 修改 客户 操作 系统 


前 端 设 备 驱动 


Hybercall 








1 Xen VMM (Hypervisor) 


图 3-6 Xen3.0 虚拟 化 架构 














特权 域 ， 也 称 为 普通 域 。Xen 对 控制 信息 和 数据 的 传输 是 分 开 处 到 


Xen 提供 了 超级 调用 〈Hypercall) 和 事件 通道 (Event Channel) 机 4 





























Ef. oup pd 
BJ. Hypercall 类 似 于 普通 操 











占用 资源 少 著称 ， 目 前 已 赢得 了 IBM、AMD、HP、Red Hat 和 
商 的 高 度 认可 和 大 力 支 持 ， 已 被 国内 外 众多 企 事业 月 























未 修改 客户 操作 系统 


虚拟 平台 


前 端 设 备 驱动 


VMEntry1VMExit 
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计算 机 硬件 ( 物理 CPU、 物 理 内 存 、 网 络 和 块 设备 等 ) 





























的 第 一 个 版 本 。 该 版 本 的 
Bh EUM 


Novell 等 





上 户 用 来 拱 建 云 计算 环 


虚拟 机 被 称 为 虚拟 域 (Domain )。 在 这 些 虚 拟 域 中 ， 虚 拟 域 
其 他 虚拟 域 Domain U 简称 为 DomU) 称 为 非 


信息 和 消息 ， 





作 系 统 中 的 系统 调用 ， 虚 拟 机 通过 Hypercall 能 够 完成 相关 的 特权 操作 ， 如 建立 页 表 、 访 问 














VO 设备 等 。 事件 通道 是 一 种 异步 消息 通知 机 制 ， 主 要 用 于 虚拟 机 和 VMM 之 间 的 通信 。 对 于 





数据 的 传输 ，Xen 使 用 共享 内 存 的 方法 ， 这 是 基于 循环 队列 数据 结构 的 9 


























实现 的 。 通 过 页 面 映射 和 DMA 操作 可 以 实现 数据 的 零 复制 ， 大 大 提升 了 系统 性 能 
从 图 3-6 可 以 看 出 ， 在 Xen 虚拟 化 架构 ， 




















和 IO 设备 等 。 
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E 产 者 -消费 者 模型 而 


， 位 于 最 底层 的 是 物理 硬件 ， 包 括 CPU. WE 














在 底层 物 


里 硬件 





全 硬件 接口 、 
































上 的 虚拟 机 提供 
作 系统 能 够 正确 

虚拟 CPU 用 来 向 客户 操作 系统 提供 
未 使 用 虚拟 化 技术 时 的 物理 





保 客 户 操 


来 处 理 ， 

作 系 统 指 

CPU 执行 。 
由 于 Xen 


令 都 将 








] 
| 





于 帮助 客户 操作 系统 完成 


虚拟 便 件 




















各 由 物理 





系统 增加 了 





伪 物 理 地 址 空 
空间 两 层 变 成 了 虚拟 地 址 空 









































创建 、 











事件 
要 实现 了 Xen 
间 通 信 机 制 。 
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在 Xen VMM 
CD 特权 域 Dom0 E Xen 系统 


控制 接口 供 
Jis. Bub. Sx 

安全 硬件 接口 供 
作 ， 如 虚拟 硬件 





Dom0 使 月 
































层 之 上 的 是 各 个 虚拟 域 。 在 Xen 中 ， 虚 拟 域 划 
中 有 且 只 能 有 -个 特权 域 Dom0， 它 随 着 Xen 的 启动 而 启 





动 。 它 由 后 端 设备 驱动 、 
设备 驱动 用 于 接 ! 
设备 驱动 对 真实 的 物 到 




















设备 管理 
控制 接口 


$8) 1 























总 之 ， Dom0 月 
(2) ARKI 
H. Wk, Domo 需要 





于 部 分 


中 迁移 到 另 一 个 域 中 ， 
就 减轻 了 Domo 的 运行 压力 ， 增 强 了 系统 的 健 让 
于 协助 Domo 完成 对 指定 硬件 设备 的 访问 。 
虚拟 域 HVM 利用 Intel 或 AMD 厂商 提供 


总 之 ， IDD 主要 月 





(3) 便 件 








完成 对 其 他 域 的 管理 
些 域 进行 授权 ， 使 它们 能 够 使 用 指 
能 是 等 竺 来 自 HVM 域 的 IO 请 求 ， 并 把 请 














原生 设备 驱动 、 设 备 管理 名 
来 自 容 户 操作 系统 的 设备 操作 请 求 原生 设备 驱动 用 于 使 用 操作 系统 原 有 的 


E CPU， 客 户 操 
而 每 个 客户 操作 系统 可 以 拥有 a CPU. nA CPU 所 接收 到 的 大 多 数 客户 操 
E CPU 直接 来 执行 ， 个 


间 、 伪 物理 地 址 空 
| 虚拟 地 址 到 物理 地 址 的 三 层 转换 。 
月， 用 于 使 Domg0 完成 对 DomU Kitt 
. DomU 的 运行 控制 、CPU 的 调度 、 内 
Dom0 和 IDD 使 用 ， 用 于 完成 除 CPU 和 
中 断 和 驱动 程序 等 ， 
通道 提供 了 各 个 虚拟 域 之 间 、 各 个 虚拟 域 与 Xen 之 间 的 一 种 异步 习 
体系 结构 中 的 各 种 中 断 (包括 虚拟 中 断 、 物 理 





这 些 工作 共 


上 的 是 虚拟 机 监视 器 VMM (也 简称 为 Xen)。 


它 主要 | 




















控制 接口 、 





安 





虚拟 CPU 以 及 虚拟 MMU 组 成 。VMM 模块 主要 
资源 ， 同 时 将 客户 操作 系统 的 虚拟 地 址 转换 成 真正 
访问 内 存 。 























作 系 统 所 要 执行 的 所 有 指令 











别 特权 指令 Xen 




















间 ， 使 得 内 存 层次 1 


间 和 物理 地 址 空 





























间 三 














同 向 DomU 提供 





计算 能 力 ， 对 于 客户 操作 系统 来 i 


原来 的 虚拟 地 址 空 
层 。 其 中 ， 虚 拟 


上 | 和 管理 工作 ， 包 括 
存 分 配 和 设备 访问 等 任务 
MMU 以 外 
































用 来 向 运行 在 它 2 
的 机 器 地 址 ， 并 看 





























说 ， 虚拟 CPU 就 是 


都 需要 交 给 虚拟 CPU 


分 析 处 理 后 再 交 


[LR TR 











| 物理 
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设备 进行 直接 访问 ， 从 了 
F 完 成 设备 的 初始 化 和 管 怪 
工作 ， 如 域 的 配置 、 
定 的 原始 设备 驱动 访问 部 分 真实 硬件 ; 
求 转发 给 相应 的 设备 模拟 模型 。 

来 协助 Xen 完成 对 其 他 虚拟 域 的 管理 操作 ， 提 供 
Kajik IDD Xen 上 
完成 的 工作 既 繁 元 又 复杂 ， 为 了 能 够 减轻 它 的 工作 负载 ， 
设备 驱动 的 缺陷 导致 Domo 崩溃 ， 进 而 导致 Xen 整体 宕 机 。Xen 将 设备 引 
































建立 经 过 Dom0 授权 





运行 未 修改 内 核 的 客户 操作 系统 。 


Xen 在 Dom0 域 专门 为 HVM 开发 了 一 个 设备 模型 ， 用 来 为 虚拟 机 的 虚拟 物 到 
| Fabrice Bellard 所 编写 的 模拟 处 到 





设备 的 共享 。 





设备 模型 的 实现 








HET 





I] HVM 提供 了 虚拟 的 硬件 平台 ， 









































) 括 键盘 、 























创建 、 销 毁 、 























FIBER TULIT S [n] 


、 控 制 软件 和 设备 模型 


ij 完成 已 经 过 Xen 授权 上 
LE 设备 访问 的 相关 工作 ， 探 制 软件 
迁移 、 














的 所 有 硬件 
了 虚拟 硬件 服务 。 
事件 通知 机 制 ， 主 

















分 为 如 下 四 种 类 型 ， 











利用 Xen 





+ 等 模块 组 成 。 


的 客户 操作 系统 请 求 ; 














MMU 











DomU 的 
LA. 








虚拟 工 





Wr) 和 域 








ro 








所 提供 的 























启动 和 停止 等 ， 
设备 模型 的 主要 功 


还 能 对 








相应 的 虚拟 资源 服务 。 


只 有 一 个 特权 域 Dom0， 所 有 硬件 设备 都 需要 同 Domo 区 





EHE. 























的 人 硬件 











虚拟 化 技术 ， 


也 为 了 避免 由 








区 动 由 








Dom0 

















设备 $ 

















鼠标 、 光 驱 、 

















Es 
人 硬盘、 图 形 卡 、 








的 、 可 以 使 用 特定 设备 驱动 的 虚拟 域 IDD。 这 样 


以 全 虚拟 化 模式 





实现 物理 


源 软件 QEMU。 € 
声卡 和 串口 等 。 
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设备 模型 还 提供 
模型 和 HVM 域 的 通信 。 
间 ， 当 IO 请求 完成 
(4) 

















普通 域 DomU ”严格 地 讲 














后 能 够 直接 使 用 物 
接 访问 物理 设备 ， 必 须 














序 向 后 端 设备 驱动 程序 发 送 操作 请 求 来 完成 。 这 些 限 币 


里 设备 驱动 , 


分 发 机 制 ， 通 过 事件 



























































通道 实现 设备 模型 和 VMM 之 间 的 通信 ， 以 及 设备 
设备 模型 还 通过 Hypercall 把 虚拟 域 的 地 址 空 
时 ， 设 备 模型 可 以 把 数据 访问 结果 复制 到 虚拟 域 中 。 
， 除 Dom0 之 外 的 所 有 域 都 是 DomU, 
因而 IDD 也 属于 特权 域 。 无 论 是 HVM 还 是 DomU 都 不 能 





间 映 射 到 自己 的 进程 空 














HÆ DD 经 过 授权 











HH) Dom0 或 者 IDD 才能 完成 硬件 访问 ， 即 需要 通过 前 端 设备 驱动 程 
避免 了 各个 域 都 能 对 硬件 访问 时 可 能 造 














成 的 混乱 ， 





保证 了 域 间 的 隔离 性 。 在 这 种 分 离 式 的 设备 模型 ， 


求 或 数据 的 转发 ， 设 计 和 实现 比较 简单 。 
Xen 通过 上 述 这 些 组 成 部 分 的 通力 协作 ， 成 功 完成 x86 架构 的 虚拟 化 工作 。 

















， 前 端 设备 驱动 内需 完成 VO 请 



































3. Xen 半 虚 拟 化 实现 





(1) CPU 虚拟 化 在 x86 A 


架构 下 ，CPU $i 

















四 个 不 同 硬件 





特权 级 别 。 编 号 为 从 Ring0 


(最 高 特权 ) 到 Ring3 GE ESO. 





操作 系统 代码 主要 在 Ring0 上 执行 ， 

















执行 应 用 程序 代码 。 如 图 3-7a 所 示 。 








在 Xen 的 体系 结构 中 ，VMM 拥有 最 高 特权 级 ， 它 替代 了 操作 系统 内 核 ， 占 
最 高 权限 。 客 户 操作 系统 从 0 环 降 到 1 环 。 应 
楼 执行 特权 指令 ， 





了 客户 操作 系统 会 直 # 





由 于 客户 操作 系统 的 特权 级 只 有 Ringl， 


限 不 够 ， 
的 客户 操作 系统 内 核 代 码 ， 
r5 DU ARE 





























Xen 可 以 通过 这 种 硬件 

















O 


^LS 


























也 保 订 





La 











3-7 












































客户 操作 系统 T 
3 环 (包括 Dom0) 
o5 


系统 运行 





0 环 


a) 无 虚拟 化 b) 半 虚 拟 化 特权 级 环 





保护 机 人 





需 将 其 替换 成 Xen 提供 
过 程 可 以 描述 为 : 客户 操作 系统 通过 Hypercall 7 








户 操 作 系 统 传 来 的 异常 向 量 表 存 入 每 个 虚拟 CPU 的 一 个 数据 结构 中 ， 然 后 将 
表 放 到 真实 的 CPU 上 。 当 异常 发 生 时 ， 首 先 陷 入 VMM, WH Xen 自己 的 异 


会 自动 触发 陷阱 ，CPU 会 保存 当前 各 寄存 器 的 状态 并 将 控 秆 
| 捕获 客户 操作 系统 调用 的 特权 指 
的 超级 调用 (Hypercall)。 
主 册 异常 向 量 表 ，VMM 将 客 





程序 仍 运 行 在 3 环 上 ， 如 图 
FE 了 操作 系统 与 应 用 程序 之 间 相 隔离 的 安全 | 


因此 ， 当 客户 操作 系统 执行 特权 指令 时 ，| 


目前 大 多 数 操作 系统 只 使 用 了 0 环 和 3 环 这 两 个 特权 级 ， 
因为 没有 其 他 的 环 可 以 执行 特权 指令 。 


重 常 用 于 





而 Ring3 通 
































] 了 0 环 ， 具 有 
3-7b 所 示 。 这 就 防止 
"s 
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于 权 























I 权 交 给 相应 的 异常 处 理 
令 。 对 于 调用 特权 指令 





























Xen 的 异常 处 理 函 数 根据 需 





要 经 过 一 上 


些 特别 的 操作 之 后 ， 在 客户 操作 系统 建立 异 处 








栈 框 ， 同 时 修改 自己 的 栈 框 ， 


给 客户 操作 系统 模拟 了 一 次 异常 。 


将 返 





























器 目 标 设置 为 客户 操作 系统 之 前 注 
这 样 ， 





























方式 来 进行 处 理 。 
(2) 内 存 虚 拟 化 
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LT APER 





EE 
[is] 














自己 a pn] E 
处 理 函 数 ， 
里 函数 的 












































E 册 的 异常 处 理 函数 ， 从 而 
客户 操作 系统 就 可 以 按照 普通 的 操作 系统 处 理 














异常 的 





要 在 客户 操作 系统 和 VMM 之 间 进 行 切换 ， 





Xen XH 





日 分 块 共享 的 方式 来 虚拟 计算 机 的 物理 
给 各 个 虚拟 机 ， 并 维护 机 器 内 存 和 虚拟 机 的 “物理 内 存 ” 间 的 映射 关系 。 内 存 地 址 的 层次 | 
的 虚拟 地 址 和 物理 地 址 两 层 增加 为 客户 操作 系统 中 的 虚拟 地 址 VA、 物 到 








开销 比较 大 。 





内 存 ， 即 将 机 器 的 内 存 分 配 











原来 











E 地 址 PA 和 机 器 地 址 MA 





























三 层 。 为 了 区 分 PA 与 普通 操作 系统 中 的 物理 地 址 ， 也 有 人 把 这 个 地 址 称 为 伪 物 理 地 址 。 
内 存 虚 拟 化 主要 解决 的 就 是 三 层 地 址 转换 问题 。 为 此 ，Xen 提供 了 直接 模式 和 影子 模式 



































两 种 地 址 转换 的 方法 。 
半 虚 拟 化 一般 采用 如 图 3-8 所 示 的 直接 模式 。 
VA 














客户 操 机 器 内 存 页 机 器 内 存 页 

作 系 统 

VMM 

硬件 层 机 器 内 存 页 | MA 


























由 于 对 客户 操作 系统 内 核 进行 了 修改 ， 客 户 操作 系统 知晓 VMM 的 存在 ， 因 此 可 以 在 客 
户 操作 系统 建立 的 页 表 中 直接 存放 VA 和 MA 的 映射 ， 并 让 MMU 使 用 ， 完 成 VA 和 MA 之 间 
的 地 址 转换 。 在 这 种 模式 下 ，Xen 先 将 客户 操作 系统 的 页 表 映 射 为 只 读 ， 即 虚拟 机 可 以 直接 读 
取 上 自己 的 页 表 ， 但 当 客户 操作 系统 第 一 次 试图 修改 其 页 表 时 将 产生 页 错误 ， 从 而 陷入 VMM, 
VMM 中 的 Virtual MMU 模块 调用 相应 的 异常 处 理 函 数 。 主 要 操作 是 将 该 页 从 页 表层 次 结构 中 
务 下 ， 并 映射 为 可 写 ， 以 后 对 此 页 的 更 新 操作 不 会 触发 页 错误 ， 最 后 当 TLB 快 表 刷 新 时 ， 将 
该 页 再 次 挂 回 到 页 表层 次 结构 中 。 

在 半 虚 拟 化 中 ， 客 户 操作 系统 的 页 表 被 设 为 写 保护 ， 这 样 每 当 客户 操作 系统 试图 修改 其 
页 表 时 就 会 产生 异常 。 

(30 VO 虚拟 化 ”除了 CPU 和 内 存 ， 计 算 机 的 运行 离 不 开 IO 设备 。 同 样 的 ， 虚 拟 机 的 运 
行 也 离 不 开 虚 拟 平台 上 的 各 种 IO 设备 。 实 际 上 ， 要 为 虚拟 机 虚拟 出 IO 设备 是 比较 有 难度 和 
挑战 性 的 。 首 先 ，LO 设备 种 类 繁多 ， 如 鼠标 、 显 示 器 、 键 租 、 硬 盘 、 网 卡 和 显卡 等 。 即 使 是 
同类 设备 ， 由 于 开发 商 和 编程 接口 不 同 ， 也 会 存在 各 种 差异 。 其 次 ， 从 虚拟 机 的 性 能 方面 考 
XE. META VO 设备 带 来 的 开销 不 能 太 大 ， 否 则 将 会 严重 影响 系统 的 性 能 。 

E Xen H, RKA Dom0 和 DD 拥有 真正 的 IO 设备 驱动 和 访问 这 些 设 备 的 权限 ， 其 他 虚 
拟 机 上 只 拥有 虚拟 的 设备 ， 如 虚拟 网 卡 和 虚拟 块 设备 。 















































































































































































































































在 半 虚 拟 化 下 ，Xen 采用 分 离 设备 驱动 模型 来 实现 VO 虚拟 化 ， 如 图 3-9 所 示 。 


Dom0/IDD 
前 段 设 备 驱动 

















图 3-9 FEIE F VO 设备 虚拟 化 
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Xen 将 设备 驱动 分 为 前 端 设备 驱动 、 后 端 设备 驱动 和 原生 设备 驱动 。 前 端 设备 驱动 在 
DomU 中 ， 后 端 设备 驱动 和 原生 设备 驱动 在 Dom0 和 IDD 中 。 前 端 驱动 以 事件 通道 的 方式 通 
知 后 端 驱动 需要 服务 ， 并 把 VO 请 求 通过 共享 内 存 机 制 请 求 传递 给 Dom0 或 IDD 中 的 后 端 设 
备 驱动 ， 后 端 设 备 驱 动 负责 接 收 这 些 IO 请 求 ， 确 认 它 们 是 否 安全 ， 然 后 解析 收 到 的 IO 请 求 
并 映射 到 实际 物理 设备 ， 最 后 交 给 它 的 原生 设备 驱动 程序 来 控制 硬件 完成 IO 请 求 。 当 IO f 
作 完 成 时 ， 后 端 驱 动 以 事件 通道 方式 通知 前 端 请求 已 经 完成 ， 并 把 数据 放 到 共享 内 存 中 。 前 端 
驱动 再 通知 客户 操作 系统 内 核 IO 请 求 已 经 完成 ， 由 内 核对 结果 进行 处 理 。 

前 端 设 备 驱 动 实 际 上 是 一 个 伪 驱 动 (Pseudo Driver)， 它 的 功能 是 将 VO 请 求 经 过 VMM 传递 
给 Dom0 EX IDD 上 真正 的 驱动 程序 。 它 只 是 处 理 数据 和 消息 的 转发 ， 设 计 得 比较 简单 。 但 后 端 设 
备 驱 动 比较 复杂 ， 它 需要 翻译 设备 地 址 ， 确 认 请 求 的 形成 ， 保 证 设备 访问 的 安全 性 等 。 

4. Xen 全 虚拟 化 实现 

下 面 分 别 从 CPU 虚拟 化 、 内 存 虚 拟 化 和 LO 虚拟 化 三 个 方面 出 发 ， 探 讨 在 Intel VT-x 的 辅 
助 下 ，Xen 是 如 何 实现 全 虚拟 化 的 HVM 的 。 

(1) CPU 虚拟 化 Intel VT-x 对 处 理 器 进行 了 扩展 ， 为 CPU 增加 了 一 种 新 的 处 理 器 操 
作 ， 称 为 VMX (Virtual Machine eXtensions)， 引 入 了 两 种 新 的 CPU 工作 模式 ，VMX 根 
(Root) 模式 和 VMX 非 根 (Non-Root) 模式 。 

如 图 3-10 所 示 ， 通 常 VMM (包括 Dom0) 运行 在 根 模式 ， 其 中 Xen 在 0 环 COP, 
Dom0 在 1 环 (1P)， 应 用 程序 在 Ring 3。 而 HVM 在 非 根 模式 下 运行 ， 其 中 客户 操作 系统 运 
行 在 0 环 〈0D)， 应 用 程序 在 3 环 GD). 















































































































































































































































































































































i 
非 根 模式 
客户 操作 系统 0D 
根 模式 
VMM OP 





图 3-10 ”硬件 虚拟 化 下 的 特权 级 环 

根 模式 与 传统 的 x86 工作 模式 没有 太 大 的 差别 ， 只 是 引入 了 一 些 新 的 支持 VMX 的 指令 。 
而 非 根 模式 是 在 VMM 控制 管理 下 的 x86 环境 ， 非 根 模式 的 处 理 器 行为 是 受 限 的 。 某 些 VMM 
设 定 的 指令 、 事 件 或 状态 会 导致 虚拟 机 退出 到 VMM， 以 确保 VMM 对 系统 的 完全 控制 ， 但 客 
户 操作 系统 并 不 知道 自己 运行 在 虚拟 机 中 。 无 论 是 根 模式 还 是 非 根 模式 ， 都 支持 传统 的 四 个 特 
权 级 : Ring0~~Ring3。 这 样 就 能 支持 不 修改 的 操作 系统 和 应 用 程序 ， 非 根 模式 下 的 操作 系统 虽 
然 运行 在 Ring0 上 ， 但 实际 上 却 受 根 模 式 的 VMM 所 掌控 。 

当 虚 拟 机 运行 过 程 中 需要 Xen 监控 和 处 理 敏感 指令 时 ， 处 理 器 会 发 生 非 根 模 式 到 根 模 式 
的 切换 ， 称 为 VMExit， 这 时 VMM 从 VM 夺回 控制 权 。Xen 处 理 完成 后 从 根 模式 切换 到 非 根 
模式 ， 称 为 VMEntry， 这 时 控制 权 从 VMM 转交 给 VM。 根 模式 和 非 根 模式 的 切换 是 通过 新 
增 的 CPU 指令 来 完成 的 。 另 外 ，VMEntry 和 VMExit 发 生 时 都 会 重新 加 载 用 于 控制 和 确定 处 
理 器 的 操作 模式 以 及 当前 执行 任务 的 特性 的 x86 的 控制 寄存 器 CR3， 从 而 使 得 VMM 和 VM 
运行 在 不 同 的 地 址 空间 ， 有 效 地 解决 了 隔离 保护 问题 ， 提 高 了 系统 的 稳定 性 。 
正 是 由 于 VT 的 两 个 工作 模式 的 思想 ， 使 得 VMM 既 能 运行 在 0 环 也 能 使 客户 操作 系统 
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运行 在 0 环 。 

(2) 内 存 虚拟 化 在 引入 硬件 虚拟 化 后 ，Xen 支持 不 用 修改 内 核 的 操作 系统 ， 但 必须 
使 用 影子 模式 完成 地 址 转换 。 如 图 3-11 所 示 ， 在 全 虚拟 化 下 ，VMM 对 HVM 的 客户 操作 
系统 是 透明 的 ，HVM 不 知道 自己 运行 在 虚拟 环境 中 。 客 户 操作 系统 看 到 的 内 存 是 VMM 
为 其 分 配 的 物理 地 址 ， 而 且 是 一 段 连续 的 空间 ， 客 户 操作 系统 负责 维护 虚拟 地 址 VA 到 物 
理 地 址 PA 的 转换 页 表 ， 而 VMM 负责 维护 物理 地 址 PA 到 真实 的 机 器 地 址 MA 的 映射 ， 
VMM 维护 的 这 个 页 表 就 是 全 虚拟 化 中 的 “影子 页 表 ”( 影 子 页 表 上 只 是 对 实际 页 表 的 一 个 备 
份 和 实时 复制 )， 虚 拟 机 看 到 的 就 是 这 个 影子 页 表 ，VMM 负责 维护 这 个 影子 页 表 ， 包 括 
PA 到 MA 的 转换 以 及 页 表 的 同步 等 。HVM 可 以 把 更 新 操作 设 为 触发 VMExit 的 条 件 ， 当 
虚拟 机 需要 更 新 页 表 时 ， 处 理 器 会 切换 到 根 模式 ， 然 后 Xen 对 影子 页 表 进 行 修改 ， 使 影子 
页 表 和 虚拟 机 操作 系统 页 表 保 持 一 致 。 





















































































































































虚拟 内 存 页 | VA 
客户 操 物理 内 存 页 物理 内 存 页 | PA 
作 系 统 
二 
VMM 页 表 
硬件 层 





图 3-11 影子 页 表 

对 全 虚拟 化 的 客户 操作 系统 而 言 ， 除 去 CR3 寄存 器 是 虚拟 的 以 外 ， 其 他 页 表 结 构 和 通常 
的 操作 系统 没有 区 别 。 

G) VO 虚拟 化 ”在 全 虚拟 化 下 ，Xen 采用 设备 模型 为 未 修改 内 核 的 虚拟 机 操作 系统 提供 
VO 设备 抽象 ， 如 图 3-12 所 示 。 客 户 操作 系统 借助 这 些 设 备 模型 来 完成 IO 访问 ， 当 HVM 访 
问 VO 设备 时 就 会 从 非 根 模式 切换 到 根 模式 ， 此 时 HVM 处 于 IO 阻塞 状态 ， 运 行 在 根 模式 的 
Xen 将 VO 请 求 转 给 Dom0, Domo 使 用 设备 模块 和 驱动 程序 进行 处 理 ， 完 成 之 后 再 通过 事件 
通道 通知 Xen， 然 后 解除 HVM 的 阻塞 ， 以 共享 内 存 的 方式 返回 结果 。 



































































































































Dom0/IDD 


原生 设备 驱动 设备 模型 








图 3-12 全 虚拟 化 下 IO 设备 虚拟 化 





3.3.4 ”虚拟 化 与 云 计算 


虚拟 化 技术 允许 在 一 台 物 理 节 点 上 同时 运行 多 个 不 同 的 虚拟 机 ， 虚 拟 机 共享 使 用 的 系统 
资源 可 以 根据 物理 集群 中 的 计算 状态 进行 相应 的 调整 ， 形 成 一 种 可 伸缩 的 、 可 迁移 的 虚拟 计算 
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特性 。 这 些 虚 拟 机 可 以 不 因 物 
力 。 这 样 的 虚拟 特性 














性 和 健壮 性 。 



































1. 虚拟 化 与 云 计算 的 关系 
作为 当今 流行 的 虚拟 化 技术 已 在 云 计算 ! 








存在 着 怎样 的 关系 呢 ? 
虚拟 化 技术 在 长 期 的 使 用 中 已 经 渗透 到 各 行 各 业 ， 而 云 计算 是 近年 来 随 着 处 理 器 技术 、 





分 布 式 技术 和 互联 网 技术 的 发 展 而 产生 的 一 种 新 的 分 布 式 计算 模型 ， 力 















































被 广泛 使 月 








里 集群 和 物理 机 器 的 体系 结构 、 计 算 能 力 的 差异 而 丧失 其 计算 能 
E 和 MapReduce 框架 形成 天 然 的 结合 ， 使 得 云 计 算 具 有 更 加 强大 的 可 扩展 











昌 ， 但 是 ， 虚 拟 化 与 云 计算 之 间 到 底 











的 占有 和 使 














方式 。 
云 计算 的 特点 之 一 是 多 租户 架构 ， 即 不 同 的 用 户 共享 一 个 物理 








不 能 保证 多 个 用 户 之 间 的 有 效 隔离 ， 那 么 月 














犯 。 如 果 采 














| 虚拟 化 技术 ， 用 户 的 每 个 应 月 








之 间 就 有 较 强 的 隔离 。 


云 服务 提供 商 对 外 提供 服务 的 月 
商 通 常 都 会 引入 虚拟 化 技术 。 因 为 丰 
所 需 的 灵活 性 。 

云 数 据 中 心 共 有 规模 巨大 的 硬件 资源 ， 
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有 务 模式 是 “ 按 需 使 用 ， 按 使 用 付费 ”。 
用 虚拟 化 ， 他 们 就 能 获得 灵活 的 基 而 
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图 改变 传统 的 计算 系统 


主机 的 软 便 件 资源 ， 如 果 
日 户 的 使 用 体验 可 能 受到 影响 ， 数 据 隐 私 可 能 受到 侵 
或 服务 单独 在 一 个 虚拟 机 环境 内 ， 这 样 不 同 虚 拟 机 





因此 ， 云 计算 供应 
设施 以 提供 终端 用 户 











而 且 这 些 硬 件 资源 之 间 还 各 不 相同 ， 这 为 管理 员 














对 硬件 资源 进行 统一 管理 带 来 了 很 大 的 麻烦 。 而 虚拟 化 技术 可 以 很 好 地 屏蔽 云 数 据 中 心 硬 件 资 








源 之 间 的 差异 ， 可 以 对 人 硬件 资源 进行 抽象 为 池 化 的 虚拟 化 资源 ， 方 便 管理 员 进 行 统 
虚拟 化 技术 能 够 使 用 户 不 再 关心 特定 应 用 软件 的 服务 方式 ， 不 月 


统 以 及 软件 环境 等 底层 资源 的 物理 





















































台 即 服务 和 基础 设施 即 服务 。 












































管理 。 








关心 计算 平台 的 操作 系 
LE 配置 与 管理 ， 可 以 方便 地 实现 真正 意义 上 的 软件 即 服务 、 平 

















正 是 因为 虚拟 化 技术 的 种 种 优势 ， 虚 拟 化 技术 已 经 逐步 成 为 云 计算 服务 的 主要 支撑 技 





术 。 大 部 分 云 计 算 解 决 方案 都 采用 了 虚拟 化 技术 。 可 以 说 ， 虚 拟 化 和 云 计算 





据 中 心 格局 ， 





























云 数 据 ， 














的 利 
绑 技 术 。 






































2. 服务 器 虚拟 化 


服务 器 虚拟 化 是 被 广泛 接受 也 
物理 计算 机 的 分 离 ， 使 得 在 
前 ， 在 大 规模 计算 资源 集 ; 


















































率 低下 。 由 于 服务 器 通常 具有 很 强 的 便 件 能 力 ， 因 
算 资 源 统一 抽象 出 来 ， 形 成 可 以 按 一 定 粒度 分 配 的 计算 资源 池 ， 提 高 服务 器 的 资源 利 





氏 运行 成 本 。 


服务 器 虚拟 化 是 基础 


点 [24] 


PS H 


D 多 实例 。 多 台 虚 拟 服务 器 共用 一 个 物 


























设施 即 服 务 的 基础 。 







































































里 服务 器 。 





0 认识 的 一 种 虚拟 化 技术 ， 通 过 虚拟 化 可 以 实现 操作 系统 和 


台 物 理 计算 机 上 可 以 同时 安装 和 运行 一 个 或 多 个 虚拟 机 。 





E 共 同 重 塑 数 
































必然 导致 服 务 器 利用 


























各 整个 数据 中 心 的 计 





心 通 过 服务 器 虚拟 化 和 应 用 虚拟 化 等 形式 ， 不 但 能 有 效 提高 各 种 资源 
] 率 ， 同 时 也 赋予 了 业务 管理 更 大 的 灵活 性 。 但 需要 指出 的 是 ， 云 计算 和 虚拟 化 并 非 捆 





的 云 数据 中 心 大量 使 用 以 x86 架构 为 基准 的 服务 器 。 如 果 
可 以 使 这 些 服 务 器 只 运行 一 个 应 用 服务 ， 但 这 ， 
此 可 以 通过 虚拟 化 技术 



































1X, p 





因此 ， 服 务 器 虚拟 化 需要 具备 以 下 功能 和 特 


2) 隔离 性 。 在 多 实例 的 服务 器 虚拟 化 中 ， 不 同 虚拟 机 之 间 完 全 隔离 ， 以 保证 系统 的 可 靠 


性 及 安全 性 。 
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3) CPU 虚拟 化 。 将 物理 CPU 抽象 成 抽象 计算 单元 。 这 样 ， 多 个 虚拟 机 可 以 同时 提供 服 
务 ， 进 而 提高 物理 CPU 的 利用 率 。 

4) 内 存 虚拟 化 。 统 一 管理 物理 内 存 ， 将 其 包装 成 多 个 虚拟 的 物理 内 存 分 别 供给 若干 个 虚 
拟 机 使 用 ， 使 得 每 个 虚拟 机 拥有 各 自 独 立 的 内 存 空间 ， 互 不 干扰 。 

5) 设备 与 IO 虚拟 化 。 统 一 管理 物理 机 的 真实 设备 ， 将 其 包装 成 多 个 虚拟 设备 给 若干 个 
虚拟 机 使 用 ， 响 应 每 个 虚拟 机 的 设备 访问 请 求 和 VO 请 求 。 

6) 透明 故障 恢复 。 运 用 虚拟 机 之 间 的 动态 迁移 技术 ， 可 以 使 一 个 故障 虚拟 机 上 的 用 户 在 
没有 明显 感觉 的 情况 下 转移 到 另 一 个 正常 运行 的 虚拟 机 上 。 

7) 动态 调度 资源 。 在 服务 器 虚拟 化 技术 中 ， 数 据 中 心 从 传统 的 单一 服务 器 变 成 了 统一 的 
资源 池 ， 用 户 可 以 及 时 地 调整 虚拟 机 资源 ， 同 时 数据 中 心 管理 程序 和 数据 中 心 管理 员 可 以 灵活 
根据 虚拟 机 内 部 资源 使 用 情况 来 分 配 调整 给 虚拟 机 的 资源 。 

8) 统一 管理 。 由 多 个 物理 服务 器 支持 的 多 个 虚拟 机 的 动态 实时 生成 、 启 动 、 停 止 、 迁 
移 、 调 度 、 负 荷 和 监控 等 ， 应 当 有 一 个 方便 易 用 的 管理 界面 。 比 如 管理 员 可 以 通过 写 时 复制 技 
术 ， 轻 松 地 在 一 台 计 算 机 上 部 置 多 个 虚拟 机 。 

3. 存储 虚拟 化 

存储 虚拟 化 的 是 伴随 大 型 计算 机 的 发 展 而 出 现 的 一 个 概念 。 早 在 20 世纪 70 年 代 ， 由 于 
当时 存储 设备 的 容量 小 、 价 格 高 ， 大 型 应 用 程序 或 多 程序 应 用 都 受到 了 极 大 的 限制 。 为 克服 这 
一 局 面 ， 人 们 开始 采用 存储 虚拟 化 技术 。 

SNIA 给 出 的 存储 虚拟 化 定义 是 :“ 通 过 将 存储 系统 / 子 系统 的 内 部 功能 从 应 用 程序 、 计 算 
服务 器 及 网 络 资源 中 进行 抽象 、 隐 藏 或 隔离 ， 实 现 独立 于 应 用 程序 、 网 络 的 存储 与 数据 管 
理 ” 通俗 地 讲 ， 存 储 虚 拟 化 就 是 把 底层 存储 介质 模块 如 人 硬盘、 磁盘 阵列 RAD 等 通过 一 定 的 
手段 集中 起 来 管理 ， 所 有 的 存储 模块 在 一 个 存储 池 中 得 到 统一 管理 ， 为 使 用 者 提供 大 容量 、 高 
数据 传输 性 能 的 存储 系统 。 

随 着 需求 的 增长 与 云 计算 技术 的 出 现 ， 虚 拟 化 和 云 计 算 聚 焦 于 统一 存储 。 存 储 虚拟 化 将 
整个 云 系统 的 存储 资源 进行 统一 整合 管理 ， 为 用 户 提供 一 个 统一 的 存储 空间 。 而 且 ， 云 计算 在 
概念 上 延伸 和 发 展 出 了 一 个 新 概念 ， 即 云 存储 。 云 存储 是 指 通 过 集群 应 用 、 网 格 技术 或 分 布 式 
文件 系统 等 技术 ， 将 网 络 中 大 量 各 种 不 同类 型 的 存储 设备 通过 应 用 软件 集合 起 来 协同 工作 ， 共 
同 对 外 提供 数据 存储 和 业务 访问 功能 的 一 个 系统 。 

根据 云 存储 的 构成 ， 可 将 虚拟 化 存储 的 模型 划分 为 图 3-13 所 示 的 三 层 结构 。 


区 域 网 络 虚拟 化 

存储 节点 虚拟 化 层 存储 节点 虚拟 化 层 

物理 设备 虚拟 化 层 | | 物理 设备 虚拟 化 层 | | 物理 设备 虚拟 化 层 | | 物理 设备 虚拟 化 层 
图 3-13 ”虚拟 化 存储 的 三 层 模型 


(1) 物理 设备 虚拟 化 层 ”主要 用 来 进行 数据 块 级 别 的 资源 分 配 和 管理 ， 利 用 底层 物理 设 
备 创 建 一 个 连续 的 逻辑 地 址 空间 ， 即 存储 池 。 
(2) 存储 节点 虚拟 化 层 ” 可 实现 存储 节点 内 部 多 个 存储 池 之 间 的 资源 分 配 和 管理 ， 将 一 
个 或 者 多 个 按 需 分 配 的 存储 池 整 合 为 在 存储 节点 范围 内 统一 的 虚拟 存储 池 。 
(3) 存储 区 域 网 络 虚 拟 化 层 ”可 实现 存储 节点 之 间 的 资源 分 配 和 管理 ， 集 中 地 管理 所 有 
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存储 设备 | 





上 述 三 





























配置 ， 就 








并 进行 简 六 








上 的 存储 池 ， 以 便 组 成 一 个 统一 
层 虚 拟 化 存储 模型 大 大 降低 了 存储 管理 的 复杂 
复杂 性 和 多 样 性 ， 使 系统 具备 了 更 好 的 扩展 性 
可 以 创建 虚拟 卷 ， 而 不 必 关 注 











的 属性 ， 从 








4. 应 用 程序 虚拟 化 


对 于 应 用 程序 如 
安装 在 服务 器 中 ， 








不 同 的 是 ， 











这 样 节 























从 实 











1) 独立 





执行 文件 ， 


4) 兼容 性 。 虚 拟 应 月 


5) 快速 升级 更 3 


出 现 应 月 
) 共享 性 。 应 

1 虚拟 环境 。 

还 包括 所 需 的 i 




















B 

















性 。 


实现 统一 的 存储 管理 。 


日 可 以 被 众多 月 
在 应 用 程序 虚拟 化 中 ， 
。 一 旦 终端 用 户 在 虚拟 机 中 
省 了 月 











的 虚拟 存储 池 。 








s 度 ， 有 效 地 封装 了 底层 存储 设备 的 
和 灵活 性 。 用 户 只 需 将 存储 设备 添加 到 存储 池 中 
系统 中 单个 设备 的 物理 存储 容量 和 存储 介质 
























































微软 的 Office 的 虚拟 化 来 说 ， 具 体操 作 流程 如 下 ，Office 软件 应 用 程序 被 
目 户 远程 使 用 。 与 安装 在 个 人 计算 机 中 的 Office 应 用 程序 所 

















用 户 是 通过 网 络 中 的 虚拟 机 制 实现 对 Office. 应 用 程序 的 调 


























始 使 




















21], 






































ni 














运行 环境 。 





一 个 应 用 程 运行 在 任 
程序 提供 一 个 虚拟 的 运行 环境 ， 不 仅 拥 有 











] Office 应 用 程序 ，Office 应 用 程序 将 被 存储 在 缓存 里 ， 
R 务 器 和 终端 用 户 个 人 计算 机 之 间 的 传输 
] Office 应 用 程序 。 
现 机 制 来 看 ， 应 用 程序 虚拟 化 是 把 应 用 对 底层 系统 和 硬件 的 依赖 抽象 出 来 ， 从 而 解 
除 应 用 程序 与 操作 系统 和 硬件 的 耦合 关系 。 应 用 程序 虚拟 化 是 软件 即 服务 的 基础 。 
拟 化 需要 具备 以 下 功能 和 特点 
对 于 终端 用 户 来 说 ， 虚 拟 应 
程序 之 间 相 互 冲 突 的 现象 。 

虚拟 化 可 以 使 
虚拟 化 为 应 月 


过 程 ， 同 时 在 离线 状态 下 用 户 依 然 可 以 使 






































应 





程序 虚 






































程序 之 间 是 相互 独立 的 ， 所 以 利用 应 用 程序 虚 


























F 何 共享 的 计算 资源 上 。 














应 用 程序 的 可 


























应 屏蔽 底层 


Z 











Hh 








P. 

















TE 











境 快速 发 布 到 客户 端 。 
6) 用 户 自 定义 。 用 户 可 以 选择 自己 喜欢 的 虚拟 应 用 的 特点 以 及 所 支持 的 虚拟 环境 。 


但 是 ， 应 用 程序 虚拟 化 也 存在 一 些 缺 陷 ， 如 部 署 及 使 
服务 器 资源 ;虚拟 环境 下 的 终端 运行 应 用 程序 时 可 能 会 出 现 延 迟 的 现象 ， 所 运行 的 应 











模 越 大 ， 延 迟 现象 越 明 显 。 
5. 平台 虚拟 化 


NI 














可 以 方便 地 在 这 个 虚拟 平台 中 
使 用 。 平 台 虚 拟 化 通常 
1) 通用 
2) 内 容 审核 。 
及 服务 的 合法 
3) 测试 环境 。 新 服务 在 正式 推出 
4) 服务 计 费 。 合 弄 
到 一 定 比 例 的 管理 费 。 
5) 升级 更 
6) 管理 监控 。 








82 








平台 虚拟 化 是 集成 各 种 开发 资源 虚拟 出 的 一 个 面向 开 


EXE 


j 可 以 快速 升级 更 新 ， 通 过 流 的 方式 ; 




















与 其 他 应 用 产生 冲突 的 内 容 ， 从 而 使 其 具有 良好 的 























各 相对 应 的 虚拟 应 用 及 环 




















应 用 程序 虚拟 化 需要 消耗 更 多 的 
程序 规 






































发 人 员 的 统一 接口 ， 软 件 开发 人 员 





























HET 

















寺 点 [ 











接 
































性 。 





各 种 开 


2 支持 各 种 通用 的 开发 工 和 由 其 
发 软件 在 接 入 平台 前 都 将 被 严格 审核 ， 包 括 身份 认证 ， 以 保证 软件 















































iis JPN YEEEAREEUB. ERRARE AS DEL" 




















开发 的 软件 。 

































































前 必须 在 一 定 的 测试 环境 中 经 过 完整 的 测试 。 


























新 。 人 允许 








服务 提供 


计 费 系统 可 以 保证 











服务 提供 人 获得 准确 的 收入 ， 而 虚拟 平台 也 可 以 得 




















者 不 断 完 善 自 己 的 服务 ， 平 台 


























要 提供 完善 的 升级 更 新 机 制 。 























平台 需要 有 


个 完善 的 管 失控 体系 以 防 出 现 非法 行为 。 
















































































































































































3.3.5 ”虚拟 化 的 安全 问题 
moon E EE 0] PUER EAR 
上 。 基 于 共 t 训 的 存储 方式 ， 可 以 节约 存储 空间 ， 进 行 统一 管理 ， 节 省 管理 费用 。 利 用 存储 整 
， 便 了 40 2 1 ， 当 使 用 共享 存储 设备 存放 数据 时 ， 由 于 通过 
存储 设备 自身 的 措施 ， 可 以 很 好 地 确保 数据 的 隔离 性 。 但 是 ， 虚 拟 化 技术 主要 面临 两 个 问题: 
虚拟 机 本 身 的 安全 和 用 户 虚 拟 机 之 间 的 隔离 问题 。 针 对 这 两 个 问题 ， 研 究 者 们 提出 了 一 些 解决 


方案 。 





1. 虚拟 机 常见 安全 威胁 























Preh 





C1) 虚拟 机 跳跃 ”虚拟 机 跳跃 是 指 借助 与 目标 虚拟 机 3 
标 虚 拟 机 实施 攻击 。 
宿主 机 上 





务 器 ， 对 








如 果 两 个 虚拟 机 在 同一 
过 获得 宿主 机 本 号 
线 ， 造 成 通信 中 断 。 

(2) 虚拟 机 逃逸 ”虚拟 机 逃逸 是 指 虚 拟 机 内 的 程序 可 能 会 逃 出 到 


地 址 或 通 ; 

















的 安全 。 
虚拟 机 逃逸 是 


几乎 所 有 的 云 服务 提供 











L 
HO 














商都 是 通过 虚拟 化 技术 ， 在 基 而 
t 相 应 的 云 服 务 。 目 前 ， 云 计算 的 虚拟 化 安全 问题 主要 

















4k 


AN 








和 设施、 平台 和 软件 不 同 层面 
rat DA FILAJ ifi: 











回 用 





















































一 种 应 用 ， 其 中 攻 了 





。 一 个 在 虚拟 机 A Efe 


条 享 同一 个 物 











时 硬件 


的 其 他 虚拟 服 


X 





二 者 通过 获取 虚拟 机 B 的 IP 
的 访问 权限 接 入 虚拟 机 B。 攻 击 者 可 将 虚拟 机 B 由 运行 改 为 离 


虚拟 机 以 外 ， 和 危及 主机 


和 者 在 允许 操作 系统 与 管理 程序 直接 互动 的 虚拟 机 上 运 





行 代码 。 这 种 应 用 可 以 使 攻击 者 进入 主机 操作 系统 和 在 主机 上 运行 的 其 他 虚拟 机 。 




















虚拟 机 逃逸 被 认为 对 虚拟 机 的 安全 





性 最 具 威胁 。 因 为 












































旦 攻击 者 获得 VMM 的 访问 权 






















































































限 ， 它 就 可 以 关闭 VMM， 最 终 导 致 相关 虚拟 机 关闭 。 

(3) 拒绝 服务 ”在 虚拟 化 环境 下 ， 系 统 资源 由 虚拟 机 和 宿主 机 一 起 共享 。 因此， 拒绝 服 
务 攻击 可 能 会 被 加 载 到 虚拟 机 上 从 而 绪 取 宿主 机 上 所 有 的 资源 。 当 有 用 户 请 求 资源 时 ， 由 于 窒 
主机 没有 可 用 资源 ， 从 而 造成 系统 将 会 拒绝 来 自 客户 的 所 有 请 求 。 可 以 通过 正确 的 配置 ， 防 止 
虚拟 机 无 节制 地 滥用 资源 ， 从 而 避免 拒绝 服务 攻击 。 

(4) 基于 Rootkit 的 虚拟 机 ”在 云 计 算 环境 下 ， 大 多 用 户 都 是 通过 公共 服务 程序 对 数据 发 


起 访问 ， 被 共享 访问 的 载体 成 为 权限 的 汇聚 点 ， 如 果 虚 拟 化 技术 被 恶 ; 
权 被 攻击 者 获取 ， 将 危害 使 用 云 计 算 服 务 的 所 有 





的 典型 代表 。 

















Rootkit 是 一 个 
也 经 与 UNIX 系统 一 











Rootkit 就 





用 来 隐藏 

















起 出 现 ， 





passwd 和 netstat 等 。 


由 于 Rootkit 技术 可 以 者 








E 
而 达到 隐藏 Rootkit 





如 果 VMM 被 Rootkit 控制 ， 








K 



































] 户 。 


身 踪迹 和 保留 系统 访问 权限 的 工 
直到 1996 年 发 布 LinuxRootkit HF, WS Rootkit 才 第 
一 次 进入 公众 的 视线 。 当 初 Rootkit 是 指 经 过 改进 的 常用 UNIX 使 









































RAE. 















































助 3 


(BE) 


的 目的 。 





并 可 以 获取 整个 物理 机 的 控制 权 。 





C5) 迁移 攻击 


虚拟 机 迁移 分 为 前 


到 意 代 码 隐藏 程序 属性 
此 ， 攻 击 者 可 以 使 用 Rootkit 技术 修改 原始 文件 ， 


Rootkit 可 以 通过 
































态 迁 移 和 动态 迁移 








TUA 





VMM 利用 系统 底层 的 优势 实现 深度 隐藏 





两 各 方式。 静态 迁移 


恶意 代码 滥用 ， 则 虚拟 化 特 
基于 虚拟 化 技术 的 Rootkit 是 这 类 攻击 








20 世纪 90 年 代 初 ， 
HTH, W ps. Is. login. 


行为， 躲避 反 病 毒 软件 的 监控 。 
经 过 改进 的 版 本 隐藏 特定 的 系统 信息 ， 从 





~ 
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将 虚拟 机 域 暂停 ， 并 转化 为 虚拟 机 映像 存放 到 文件 系统 ， 然 后 通过 一 定 的 方式 〈 如 借助 可 移动 














迁 出 端 VMM 进行 网 络 





虚拟 机 域 工作 ， 迁 移 运行 中 的 各 种 环境 数据 ， 最 后 





存储 ) 将 该 虚拟 机 映像 复制 到 迁 入 端的 物理 计算 机 上 ， 最 后 通过 虚拟 机 恢复 机 人 
虚拟 机 映像 恢复 成 虚拟 机 域 。 动 态 迁 移 是 指 在 迁 












































在 迁 入 端 将 





c 














出 端 发 起 动态 迁移 后 ， 迁 入 端 VMM 通过 与 
通信 ， 先 行 复制 迁 出 端 虚拟 机 域 的 内 存 数据 ， 然 后 迁 出 端 停止 被 迁移 
迁 入 端 恢复 虚拟 机 域 的 运行 。 























在 多 数 情况 下 ， 迁 移 攻击 主要 是 指 虚 拟 机 动态 迁移 攻击 。 在 虚拟 机 动态 迁移 过 程 中 ， 攻 








击 者 能 够 改变 源 配置 文件 










































































F 和 虚拟 机 的 特性 。 一 旦 接触 到 虚拟 硬盘， 攻击 者 可 攻破 所 有 的 安全 措 
施 ， 如 密码 。 由 于 该 虚拟 机 是 一 个 实际 虚拟 机 的 副本 ， 难 以 追踪 攻击 者 的 此 类 威胁 。 


(6) 虚拟 机 之 间 的 相互 影响 ”虚拟 机 技术 的 主要 特点 是 隔离 ， 如 果 我 们 从 一 台 虚 拟 机 去 
控制 另 一 台 虚拟 机 ， 安 全 漏洞 就 会 出 现 。CPU 技术 可 以 通过 强制 执行 管理 程序 来 保护 内 存 ， 















































内 存 的 管理 程序 应 该 是 独立 的 ， 在 正确 的 规则 里 ， 应 该 禁止 从 正在 使 用 的 内 存 看 到 另外 一 个 虚 























拟 机 。 也 就 是 说 ， 即 使 一 台 虚 拟 机 上 有 内 存 没有 被 使 用 ， 
的 内 存 。 对 于 网 络 流量 来 说 ， 每 个 虚 






























































另 一 台 虚 拟 机 也 不 能 去 使 用 这 些 闲 置 














以 机 的 连接 都 应 该 有 专用 的 通道 ， 虚 拟 机 之 间 不 能 嗅 探 对 

















方 的 数据 包 。 但 是 ， 如 果 虚 拟 机 平台 使 用 了 虚拟 交换 等 技术 来 连接 所 有 虚拟 机 ， 那 么 虚拟 机 就 
可 以 进行 嗅 探 ， 或 者 使 用 ARP 来 重新 定向 数据 包 。 





负责 对 虚拟 机 的 检测 、 改 变 和 通信 ， 对 宿主 机 的 安全 要 更 严格 管理 。 依 据 虚 拟 机 技术 的 不 同 ， 
宿主 机 可 能 会 在 如 下 几 个 方面 影响 虚拟 机 : CO 启动 、 停 1 
置 虚拟 机 资源 ， 包 括 CPU、 内存、 硬盘 和 虚拟 机 的 网 络 ; © 调整 CPU 数量 、 内 存 大 小 、 硬 


QD 监控 虚拟 机 内 运行 的 应 用 程序 ，@@ 查看 、 复 制 和 修改 数据 























盘 数量 和 虚拟 网 络 的 接口 数量 











CI) 宿主 机 与 虚拟 机 之 间 的 相互 影响 “宿主 机 对 于 














虚拟 机 来 说 ， 是 一 个 控制 者 ， 宿 主机 









































EF、 暂停 和 重启 虚拟 机 ;，@ 监控 和 配 
































在 虚拟 机 的 硬盘 存储 。 由 于 所 有 的 网 络 数据 都 会 通过 宿主 机 发 往 虚 拟 机 ， 那 么 宿主 机 就 能 够 监 
控 所 有 虚拟 机 的 网 络 数据 。 















































(8) 旁 道 攻击 ” 随 着 多 租户 、 多 个 组 织 共 享 一 个 物理 服务 器 ， 使 云 提供 商 能 够 以 极 低 的 
































价格 出 售 他 们 的 服务 。 具 有 相同 的 物理 服务 器 上 拥有 多 个 用 户 的 多 个 虚拟 机 实例 意味 着 ， 除 非 
































一 个 组 织 特别 要 求 物理 隔离 。 否 则 ， 其 虚拟 机 实例 可 能 会 同 竞争 对 手 或 恶意 用 户 的 虚拟 机 实例 
运行 在 同一 侣 物理 服务 器 上 。 


















































旁 道 攻击 者 就 是 通过 共享 CPU 和 内 存 缓存 来 提取 或 推 嘎 敏 感 信息 。 由 于 旁 道 攻击 的 目标 




















是 共享 一 台 物 理 机 的 虚拟 机 实例 ， 因 




















此 ， 最 终 的 解决 办 法 是 避免 多 租户 。 对 此 ， 云 提供 商 可 以 





























为 客户 提供 选择 独占 物 
2. 虚拟 化 软件 安全 








理 机 的 选项 ， 而 客户 要 为 资源 利 














虚拟 化 软件 直接 部 署 于 裸 机 之 上 ， 提 供 能 够 创建 、 
器 层 的 虚拟 化 能 通过 任何 虚拟 化 方式 完成 。 















































虚拟 化 软件 层 完全 1 
































j 率 的 降低 而 多 付 钱 。 





运行 和 销毁 虚拟 服务 器 的 能 力 。 服 务 




















云 服务 提供 商 来 管理 。 由 于 它 是 保证 虚拟 机 在 多 租户 环境 下 相互 隔 





离 的 重要 层次 ， 所 以 必须 严格 限制 任何 未 经 授权 的 用 户 访问 它 。 





这 一 层 的 特点 是 虚拟 机 的 安全 
虚拟 化 的 核心 VMM 和 其 他 形式 虚拟 化 层次 的 物理 也 


























~ 











丸 此 ， 云 服务 提供 商 应 建立 必要 的 安全 控制 措施 ， 限 制 对 于 
逻辑 访问 控制 ， 确 保 虚 拟 化 层 的 安全 。 



























































针对 此 虚拟 化 软件 层 ， 主 要 有 两 种 攻击 方式 ; 中 恶意 代码 通过 应 用 程序 接口 (API) 攻 


















































击 ， 因 虚拟 机 通过 调用 API 向 VMM 发 出 请 求 ，VMM 要 确保 虚拟 机 只 会 发 出 经 过 认证 和 授权 

















MER: © 通过 网 络 对 VMM 进行 攻击 ， 通 常 VMM 所 使 用 的 网 络 接 口 设备 也 是 虚拟 机 所 使 



































用 的 ， 这 意味 着 虚拟 机 可 以 连接 到 VMM AY TP Hahk, JA VMM. 
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3. 虚拟 服务 器 安全 


虚拟 服务 器 位 于 虚拟 化 软件 之 上 。 虚 拟 化 服务 器 的 最 大 特点 之 一 是 网 络 架构 。 网 络 架 构 
的 改变 相应 地 产生 了 许多 安全 问题 。 在 不 使 用 虚拟 化 技术 时 ， 用 户 可 以 对 不 同 服务 器 采用 不 同 





的 规则 进行 管理 。 
器 将 支持 若干 应 用 程序 。 可 
管理 程序 设 i 























十 过程 中 的 安全 隐患 会 传染 到 同 





对 一 个 服务 器 的 攻击 不 会 扩散 到 
能 会 出 现 负载 过 重 的 现象， 


















































及 虚拟 机 间 的 通信 也 会 增加 服务 器 遭受 渗透 攻 了 
虚拟 服务 器 面临 着 许多 主机 安全 威胁 ， 包 括 接 入 和 管理 
侦 听 、 动 持 未 采取 合适 安全 措施 的 账户 等 。 




















务 标 准 端 
下 措施 : 

1) 选择 
测 用 户 密码 ， 并 
多 核 处 理 器 ， 
全 问题 。 












































2) 每 台 虚 拟 服务 器 应 通过 虚拟 局 域 网 (VLAN) 和 不 同 IP 地 址 网 段 的 方式 进行 逻辑 隔 
信 的 虚拟 服务 器 间 通 过 VPN 进行 网 络 连接 。 
3) 安装 虚拟 服务 器 时 ， 应 为 每 台 虚 拟 服务 器 分 配 一 个 独立 的 便 盘 











cg mm 
需要 通 

















es 
E3 
o 








物理 
































离 。 虚 拟 服务 器 系统 还 应 安装 基 了 











其 他 服务 器 。 采 





























主机 的 密 钥 被 盗 、 





虚拟 化 技术 后 
其 至 会 出 现 物理 服务 器 裔 泪 的 状况 。 在 
主机 上 的 所 有 虚拟 机 。 另 外 ， 虚 拟 机 迁移 以 
生 的 机 会 。 


— es 


台 服 务 


$ 








在 脆弱 的 服 





HIX 























主机 的 防火 墙 、 


杀毒 软件 、 





们 相互 隔离 ， 并 与 其 他 安全 防范 措施 一 起 构成 多 层次 防范 体系 。 





三 | 
FR 








4) 在 防火 墙 中 ， 尽 
和 隔离 ， 将 月 
对 等 。 











5) 对 于 虚拟 服务 器 系统 ， 应 当 像 对 一 台 物 理 服务 器 一 样 地 对 它 进行 系统 安全 加 回 。 
上 在 物理 主机 上 运行 其 他 网 络 服务 。 
临安 全 威胁 ， 或 者 直接 停 1 
昌 率 ， 并 进行 容量 分 析 ， 使 用 

















严格 控制 物理 






































月 





主机 上 运行 虚拟 服务 的 数 
时 主机 受到 侵害 ， 所 有 在 其 中 运行 的 虚拟 服务 器 者 
6) 避免 服务 器 过 载 朋 涡 ， 要 不 断 监 视 服务 器 的 硬件 利 月 
务 器 或 容错 软件 是 一 个 好 的 选择 。 
7) 对 虚拟 服务 器 的 运行 状态 进行 严密 监控 ， 实 时 监控 各 虚拟 机 当 








E AX 








这 些 不 安全 因 





素 , 


可 以 采取 以 


具有 可 信 平 台 模 块 (TPM) 的 物理 服务 器 。TPM 可 以 在 虚拟 服务 器 启动 时 检 

















依据 检测 结果 决定 是 否 启动 此 虚拟 服务 器 。 如 果 有 可 能 ， 应 使 用 
玫 支 持 虚拟 技术 的 CPU， 这 样 就 能 保证 CPU 之 间 的 物理 隔离 ， 减 少 部 分 安 





新 的 带 有 






































分 区 ， 以 便 





进行 逻辑 也 





志 记 录 和 恢复 软件 ， 以 便 将 





务 器 的 安全 策略 加 入 系统 的 安全 策略 中 ， 并 按 物理 





E, WI 














了 将 四 






































IM 


E 


对 每 台 虚 拟 服 务 器 做 相应 的 安全 设置 ， 进 一 步 对 它们 进行 保护 
服务 器 安全 策略 的 方式 来 
































同时 
因为 一 旦 物 
上 运行 。 

容错 


























日 志 ， 以 此 来 发 现存 在 的 安全 隐患 ， 对 不 需要 运行 的 虚拟 机 应 当 立 即 关闭 。 


4. 虚拟 机 安全 防护 
昌 前 基于 虚拟 机 技术 ， 

















AUS RP. 
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(D 隔离 执行 n 
究 都 使 用 了 虚拟 化 技术 。 比 妇 


护 整 个 虚拟 环境 的 完整 性 ， 并 追踪 多 个 应 月 


而 离 执行 是 指 将 程序 








|| Huang 等 人 
































的 系统 日 志和 防火 墙 








隔离 到 一 个 封闭 的 环境 中 运行 。 目 前 大 多 数 此 类 研 
“基于 OpenVZ 实现 了 一 个 隔离 执行 架构 ， 能 够 维 
昌之 间 的 交互 。 






































(2) 虚拟 机 监控 ”虚拟 机 的 隔离 性 会 引入 一 个 新 的 问题 ， 即 虚拟 环境 中 的 用 户 行为 不 可 
见 ， 无 法 对 其 进行 监控 。 于 是 出 现 了 虚拟 机 自省 技术 ， 用 以 消除 不 同 虚 拟 机 之 间 的 语义 鸿沟 。 





参考 文献 [24] 曾 述 了 这 种 技术 。 
面向 虚拟 化 的 内 存 保护 技术 已 经 出 现 ， 如 Intel 实现 了 一 种 基于 轻 量 级 虚 











G) 内 存 保护 





























拟 机 的 内 存 保护 方法 ， 通 


享 内 核 空间 带 来 的 安 








过 分 离 





式 页 表 将 内 核 内 存 和 应 
全 性 问题 。 然 而 这 种 轻 量 级 虚拟 机 不 具有 通用 性 。 






























































j 程 序 内 存 分 离 ， 从 而 解决 操作 系统 




















^ 


85 


5. Xen 平台 的 安全 
有 良好 的 隔离 性 ， 但 在 很 多 应 用 上 ， 必 须 进 

















虽然 虚拟 机 





























行 虚拟 机 间 的 通信 ， 而 虚拟 机 


之 间 频 繁 的 交互 带 来 了 新 的 安全 挑战 。 例 如 ， 虚 拟 机 之 间 未 经 授权 的 非法 访问 、 通 过 虚拟 机 之 

















间 通 信 产 生 的 病毒 传播 。 





针对 上 述 情况 ，Xen 通过 

















个 安全 容器 。 在 使 用 











完毕 ， 当 Xen 上 的 一 个 Hypercall 被 调 月 
对 此 次 访问 请 求 做 出 允许 或 # 




















安全 问题 。 
































ACM 进行 安全 控制 时 ， 它 首先 加 载 用 户 设置 的 安全 策 
HET, ACM 的 决策 算法 根据 
E 绝 的 决定 ， 并 反馈 给 XSM)， 能 有 效 解 决 访问 不 当 造 成 的 




















的 访问 控制 模块 ACM CACM 也 称 为 sHype， 是 由 
IBM 提出 的 一 个 在 Xen 上 实现 的 安全 架构 XSM (Xen Security Module), 


其 


AN 





















































作用 类 似 一 
各 ， 在 加 载 






































j 户 所 配置 的 策略 ， 


ACM 实现 了 中 国 墙 CW 中 和 简单 类 型 强制 STEP9 两 种 策略 。 中 国 墙 策略 的 基本 原则 














是 没有 任何 信息 流 导致 利益 的 冲突 。 
集 ， 然 后 根据 类 型 定义 标签 。 该 策略 根据 标签 进行 判断 ， 若 两 个 虚拟 机 的 标签 处 在 同一 个 
， 则 不 能 同时 在 相同 的 系统 上 运行 ， 即 中 国 墙 策略 不 允许 
症 主 要 用 于 虚拟 机 之 间 的 信息 流 控制 。ACM 中 
于 虚拟 机 系统 节点 内 部 ， 
民 据 类 


存在 的 资 











冲突 集 























型 定义 标签 ， 





时 运行 在 一 台 虚 拟 机 监控 器 上 。 
的 STE 模型 是 对 传统 类 型 强制 TE 模型 的 改进 。STE 策略 主要 
用 于 控制 虚拟 机 系统 资源 在 虚拟 机 之 间 的 共享 。STE 策略 也 定义 了 


当主 体 (一般 是 指 系 统 中 运行 的 进程 》 拥 有 客体 (一 般 是 指 系统 ! 








因此 该 机 

















其 基本 原理 是 : 先 定义 一 组 中 




























































































国 墙 类 型 和 一 个 冲突 


有 利益 冲突 的 虚拟 机 同 

















组 类 型 ， 然 后 





























源 ) 标签 时 ， 主 体 才能 访问 客体 。 比 如 一 个 虚拟 机 可 以 访问 多 个 系统 资源 ， 则 该 虚拟 机 将 
拥有 所 有 可 以 访问 资源 的 类 型 标签 。 

















除 此 以 外 ，Xen 的 Domain 0 用 户 可 以 根据 自 
他 虚拟 机 进行 通信 或 访问 资源 时 ，ACM 模块 能 




































































的 资源 进行 控制 以 及 对 虚拟 机 之 间 的 信息 流 进行 控制 的 目的 。 

Xen 3.0 引入 虚拟 TPM 的 概念 ， 可 信 计 算 实现 了 对 虚拟 化 系统 的 扩展 。 扩 展 后 的 虚拟 系 
统 上 的 多 个 VM 共享 同一 个 物理 硬件 TPM. 
能 ， 让 每 个 需要 TPM 功能 的 虚拟 机 都 感觉 是 在 访问 自己 私有 的 TPM 一 样 。 在 实践 中 ， 可 以 
创建 多 个 虚拟 TPM， 这 样 每 一 个 如 实地 效仿 硬件 TPM 的 功能 ， 可 有 效 维护 各 个 虚拟 机 的 安 











虚拟 TPM 可 以 使 平台 上 的 每 个 虚拟 机 利 月 


己 的 需求 制订 安全 策略 。 当 虚拟 机 请 求 与 其 
据 用 户 定义 的 策略 判断 ， 以 此 达到 对 虚拟 机 


































































































病毒 和 Dos EA 


全 ， 从 而 使 采用 Xen 实现 的 云 计算 平台 处 于 较 稳 定 状态 。 
全 性 还 有 较 多 的 安全 问题 。 比 如 Domain 0 是 一 个 安全 瓶颈 ， 其 功能 
F, WR Domain 0 瘫痪 ， 那 么 将 破坏 整个 








HEC 


信道 问题 不 解决 ， 在 Xen 上 就 不 可 能 运行 高 安全 等 级 的 操作 系统 。 



































但 是 ， 目 前 Xen 的 安 
较 其 他 域 强 ， 所 以 容易 遭受 蠕虫、 
虚拟 机 系统 。Xen 的 隐蔽 
虚拟 机 共享 同一 套 硬件 设备 ， 一 些 
Xen 提供 了 方便 的 保存 和 恢复 机 制 ， 




















VMM 的 安全 。 


94 云 服务 级 安全 


身 的 安全 特性 。 除 此 之 外 ， 在 Xen 中 ， 




















使 得 回 滚 和 重 放 机 制 非常 容易 实现 ， 但 这 些 将 影响 操作 本 
于 安全 机 制 垦 入 在 客户 操作 系统 ， 























恶意 破坏 和 恶意 实施 。 


























， 所 以 不 和 




















云 计 算 服 务 模 式 拥 有 传统 服务 模式 所 不 具备 的 很 



































多 特性 ， 





eT 
尽管 
EA 





E 保 证 





它 融 合 多 种 技术 以 集约 化 的 资 


源 管理 方式 向 用 户 提供 方便 和 灵活 的 服务 ， 这 种 新 的 服务 模式 已 引起 历史 上 又 一 次 重大 的 产业 
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变革 ， 但 同时 也 带 来 不 少 值得 深思 的 新 安全 问题 。 
对 云 计算 平台 而 言 ， 无 论 IaaS、PaaS、Saag 中 的 哪 一 种 服务 模式 ， 都 应 保证 应 用 和 数据 








的 安全 性 。 





3.4.1 IaaS 云 安全 








las 云 服务 提供 商会 提供 给 用 户 








系统 镜像 ， 所 以 TaaS 模式 面 





关 。 同 时 ，IaaS 云 服务 提供 商 将 去 用 户 部 署 在 虚拟 机 上 的 应 上 


的 全 部 责任 。 





户 负 责 IaaS 云 之 上 应 用 安全 

















二 











所 有 设施 的 使 用 权 ， 使 用 户 可 以 自由 地 部 署 自己 的 操作 




















看 的 安全 问题 是 最 多 的 ， 而 且 这 些 问 题 也 主要 与 云 平台 本 身 相 






































看 作 是 一 个 黑 盒 子 ， 因 此 云 用 


ad 























作为 云 计算 的 最 底层 服务 ，IaaS 涵盖 了 从 底层 的 物理 设备 到 硬件 平台 等 所 有 的 基础 设施 








资源 层面 。 其 主要 功能 是 为 


























施 资 源 进 行 抽象 虚拟 化 后 












































用 户 是 云 管理 人 员 。 
1. IaaS 的 安全 问题 


的 一 组 应 用 程序 编程 接口 ，API 允许 月 

















其 上 的 各 种 服务 提供 支撑 功能 。 这 种 支撑 功能 主要 是 通过 对 基础 设 
昔 助 于 虚拟 化 技术 实现 的 。 虚 拟 化 的 终极 状态 是 IaaS 提供 商 提 供 
日 户 与 基础 设施 进行 管理 和 其 他 形式 的 交互 。IaaS 主要 的 














Ias 层 处 于 云 计算 平台 的 最 底层 ， 为 上 层 云 应 用 提供 安全 数据 存储 和 计算 等 资源 服务 ， 





























是 整个 云 计算 体系 安全 的 基石 。IaaS 平台 既 有 传统 数据 中 心 的 安全 特性 ， 更 面临 自身 特有 的 


安全 风险 。 












































如 图 3-14 所 示 ，IaaS 层 的 安全 包括 物理 设施 安全 、 便 件 资源 层 安 全 、 虚 拟 化 平台 安全 、 





























件 管理 和 业务 连续 性 等 。 


(1) 物理 设施 安全 问题 





虚拟 化 资源 层 安全 风险 


虚拟 化 平台 层 安全 风险 


硬件 资源 层 安全 风险 
物理 设施 安全 风险 














物理 设施 安全 是 指 保护 云 计 算 平 台 包括 服务 器 、 通 信 网 络 和 电 

















虚拟 化 资源 层 安全 、 接 口 层 安全 、 数 据 安全 、 加 密 和 密 钥 管理 、 身 份 识别 和 访问 控制 、 安 全 事 


接口 层 安 全 风险 


ERNE 





图 3-14 IaaS 层 安全 


























源 等 物理 实体 免 遭 地 震 、 水 灾 和 火灾 等 自然 事故 以 及 人 为 行为 导致 的 破坏 ， 如 云 数 据 中 心 供电 
设备 失效 导致 服 务 器 宕 机 及 数据 于 失 等 问题 。 
整个 云 计算 系统 安全 的 大 前 提 。 虽 然 云 计算 并 没有 改变 传统 物理 























基础 物理 实体 的 安全 是 






































实体 所 面临 的 安全 问题 ， 但 是 因 
很 多 ， 物 理 设备 的 安全 问题 会 造成 更 广泛 的 影响 。 






































为 云 平 台 ， 尤 其 是 公有 云 平台 托管 的 用 户 将 比 传统 信息 系统 多 




















(2) 硬件 资源 层 安全 问题 ”硬件 资源 层 安全 包括 服务 器 安全 、 存 储 安全 和 网 络 安全 等 。 








服务 器 安全 是 指 云 计 算 








系统 中 的 





作为 海量 数据 存储 、 传 输 和 应 用 处 理 的 基础 设施 服务 器 














的 安全 性 。 主 要 防护 措施 包括 身份 认证 、 








访问 控制 、 主 机 安全 审计 和 安全 规则 等 。 
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存储 安全 是 指 提供 存储 资源 的 物理 设施 及 存储 网 络 ， 确 保存 储 资源 的 可 用 性 和 可 靠 性 等 

















目标 。 主 要 通过 提供 存储 设备 风 余 设置 、 存 储 网 络 访问 控制 以 及 存储 网 络 监 控 等 安全 措施 来 预 
防 存 储 硬 件 失效 和 共享 存储 网 络 拒绝 服务 等 安全 问题 。 

网 络 安全 是 指 网 络 架构 、 网 络 设备 和 安全 设备 方面 的 安全 性 ， 主 要 体现 在 网 络 拓扑 安 
全 、 安 全 域 的 划分 及 边界 防护 、 网 络 资源 的 访问 控制 、 远 程 接 入 的 安全 、 路 由 系统 的 安全 、 入 





















































侵 检 测 的 手段 和 网 络 设施 防 病毒 等 方面 。 主 要 是 通过 提供 安全 措施 划分 安全 域 、 实 施 安全 边界 
防护 、 部 署 防火 墙 、 部 署 DoS、 防 病毒 网 关 和 身份 认证 等 措施 解决 此 类 安全 问题 。 

G) 虚拟 化 平台 安全 问题 ”虚拟 化 平台 层 安全 是 指 虚拟 化 相关 软件 的 安全 风险 ， 各 种 虚 
拟 化 软件 引入 了 新 的 攻击 界面 ， 如 服务 器 虚拟 化 软件 的 VMM 和 其 他 管理 模块 。 主 要 安全 风 


























险 及 对 策 如 下 : 





D 平台 完整 性 自 改 。 虚 拟 化 软件 被 攻击 者 注入 恶意 代码 或 进行 自 改 导致 系统 进入 不 安全 



















































































状态 。 主 要 通过 提供 基于 可 信 计 算 技术 实施 对 虚拟 化 平台 完整 性 的 保护 。 


























2) 管理 接口 非法 访问 。 主 要 是 指 虚 拟 化 软件 面向 管理 员 的 访问 接口 没有 设置 访问 控制 措 
施 或 因为 软件 缺陷 被 利用 。 攻 击 者 访问 管理 接口 将 直接 影响 整个 虚拟 化 平台 的 安全 。 主 要 通过 
















































































引入 访问 控制 机 制 来 确保 管理 接 














的 安全 性 。 








3) 资源 分 配 拒绝 服务 。 在 虚拟 化 环境 下 ，CPU 和 内 存 等 资源 是 虚拟 机 和 宿主 机 共享 的 ， 
如 果 虚 拟 机 发 起 DoS 攻击 以 获取 宿主 机 上 所 有 的 资源 ， 可 能 造成 主机 拒绝 服务 。 主 要 通过 引 
































入 身份 认证 技术 确保 其 他 管理 模块 的 安全 。 


























(4) 虚拟 资源 层 安全 问题 IaaS 平台 大 量 采 用 虚拟 化 技术 ， 包 括 虚 拟 服务 器 、 虚 拟 存 
储 、 虚 拟 网 络 和 虚拟 交换 机 等 ， 虚 拟 化 安全 成 为 aas 层面 临 的 最 大 安全 风险 。 虚 拟 化 安全 问 























题 主要 包括 以 下 几 个 方面 : 





D 虚拟 化 软件 本 身 的 安全 问题 。 虚 拟 化 软件 位 于 裸 机 与 用 户 实 例 之 间 ， 提 供 能 够 创建 、 
运行 和 销毁 虚拟 服务 器 的 服务 。 









































云 服 务 提供 商 应 建立 必要 的 安全 控制 措施 ， 限 制 对 于 























Hypervisor 和 其 他 形式 的 虚拟 化 层次 的 物理 和 逻辑 访问 。 在 laas 服务 中 ， 用 户 不 能 接 入 虚拟 
化 软件 层 ， 该 层 由 云 服务 提供 商 来 操作 和 管理 。 不 安全 的 虚拟 化 软件 ， 会 直接 造成 用 户 实例 的 
不 安全 ， 如 可 能 造成 用 户 实例 的 非 授权 访问 、 用 户 实例 的 非法 删除 等 问题 。 

2) 虚拟 服务 器 安全 。 在 服务 器 虚拟 化 的 过 程 中 ， 单 台 的 物理 服务 嚣 本身 可 能 被 虚拟 化 成 
多 个 虚拟 机 并 提供 给 多 个 不 同 的 租户 ， 这 些 虚 拟 机 可 以 认为 是 共享 的 基础 设施 ， 部 分 组 件 如 




































































CPU 和 缓存 等 对 于 该 系统 的 使 用 者 而 言 并 不 是 完全 隔离 的 。 此 时 任何 一 个 租户 的 虚拟 机 漏洞 
被 黑客 利用 都 将 导致 整个 物理 服务 器 的 全 部 虚拟 机 不 能 正常 工作 。 
虚拟 服务 器 面临 着 许多 主机 安全 威胁 ， 包 括 接 入 和 管理 主机 的 密 钥 被 盗 、 在 脆弱 的 服务 




















标准 端口 侦 听 、 动 持 未 采取 合适 安全 措施 的 账户 等 。 













































































(5) 接口 和 API 安全 问题 laas 云 主要 是 通过 接口 向 用 户 提供 服务 。 但 是 当前 IaaS 的 接 

















口 本 身 还 不 够 安全 ， 尤 其 像 是 提供 





认证 服务 、 加 密 服 务 和 访问 控制 服务 的 接口 必须 能 够 保证 不 


























会 被 偶然 或 恶意 地 规避 ， 和 否则 ， 可 能 会 导致 整个 系统 安全 防护 的 丧失 。 
接口 安全 问题 是 指 需要 采取 相应 的 措施 来 确保 使 用 接口 的 用 户 认 证 、 加 密 和 访问 控制 的 








有 效 性 ， 避 免 利用 接口 对 内 和 对 乡 



























































的 攻击 等 。 























不 安全 的 API 也 会 造成 恶意 














资源 的 滥用 。 造 成 不 安全 API 的 





昌 户 利用 接口 对 系统 内 或 者 系统 外 进行 非法 攻击 ， 以 及 对 云 
原因 有 很 多 ， 如 匿名 访问 、 重 用 的 令 牌 或 者 密码 、 认 证 与 数 
























































据 传输 以 明文 的 方式 进行 、 不 灵活 的 访问 控制 和 认证 、 有 限 的 监控 和 日 志 能 力 都 会 导致 API 
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变 得 不 安全 。 
































(6) 共享 技术 带 来 的 安全 问题 IaaS 层 允 许 用 户 直接 使 


有 为 不 同 用 户 之 间 提 供 有 效 的 隔离 措施 。 








架构 之 间 设 置 有 一 层 管理 
完全 保证 用 户 之 间 的 隔绝 。 如 果 不 能 有 效 地 管 
的 非法 使 用 ， 其 






































至 出 现 





























2. IaaS 安全 对 策 


解决 上 述 提 到 的 安全 问题 是 运营 商 发 展 IaaS 业务 的 














里 和 技术 。 




















D 用 户 数据 可 控 和 数据 隔 








以 解决 数据 泄露 的 风险 。 
2) 综合 考虑 数据 中 心软 硬件 部 署 。 在 选 购 硬 件 时 ， 要 综合 考虑 质量 、 


格 和 可 维护 性 等 




















商 和 质量 之 间 平 衡 。 
3) 针对 服务 中 断 等 不 可 抗 




















中 心 时 ， 最 好 采 i 














心 ， 在 其 他 : 


4) 针对 Iaas 的 网 络 





素 ， 并 选择 性 价 比 高 的 





















































虽然 一 些 云 服 务 提供 商 在 














] 云 计算 硬件 基础 架构 ， 却 没 
] 户 的 操作 系统 与 底层 











程序 ， 以 避免 用 户 不 恰当 地 使 用 底层 服务 ， 但 是 这 些 措施 还 不 能 









































里 和 隔离 用 户 ， 可 能 会 造成 用 户 对 共享 资源 
] 户 之 间 互 相 攻 击 的 情况 。 



































通过 用 户 控制 其 使 





















































€€ 两 地 三 














EE 点。 解决 Taas 安全 问题 主要 通过 


ug 








的 网 络 策略 和 安全 以 及 虚拟 化 存储 可 


品牌 、 易 用 性 、 价 








商 产 品 。 在 选择 虚拟 化 软件 ! 



























































单独 的 














内 部 可 以 自由 通信 ， 不 同 的 用 户 不 














的 正常 运行 ，@ 构建 虚拟 防火 墙 ， 用 户 可 以 采 月 
E: @ 为 云 平台 用 户 提 供 反 DDoS 服务 ， 
DDoS 攻击 影响 。 

5) 在 系统 管理 


























EE 层面， 提供 多 利 





安全 措施 。 比 如 : QD 当 











， 也 需要 在 价格 、 广 


素 。 服 务 中 断 在 信息 环境 中 始终 存在 ， 在 设置 云 计算 数据 
心 ” 策 略 ， 进 行 数据 的 备份 ， 即 数据 中 心 附近 设置 同 地 域 灾 备 ， 
也 域 设置 另 一 个 异地 灾 备 中 心 。 
层 和 采取 多 项 措施 。 比 如 : CO 每 个 用 户 采 用 




















VLAN， 确 保 用 户 








能 互通 ，@ 采用 端口 绑 定 和 端口 隔离 等 措施 ， 保 证 云 平 台 





















































虚拟 防火 墙 对 特定 的 虚拟 机 进行 访问 策略 设 

















自动 发 现 攻击 ， 并 实施 清洗 ， 确 保 云 平台 不 受 















































] 户 进行 登录 时 ， 除 采用 用 户 








名 密码 认证 外 ， 同 时 采用 手机 动态 密码 认证 ， 确 保 客 户 自 服务 账号 安全 ， 避 免 非 授权 操 





作 ; © 提供 SSL 和 VPN 通信 和 链 路 支持 ,到 
在 公 网 上 被 泄露 、 




















补丁 集中 管理 
6) 建立 





健全 行业 法 
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保 用 户 在 接 入 虚拟 系统 时 ， 避 免 用 户 关键 信息 
窃听 或 截获 ，@ 为 客户 机 提供 集中 的 补丁 管理 ， 通 过 
策略 ， 及 时 保障 云 平台 各 组 件 的 安全 。 
规 。 在 云 服务 中 ， 


























快速 有 效 的 安全 





户 的 焦虑 很 大 一 部 分 来 自 于 不 知道 自己 的 数据 究 











竟 存 储 在 哪 ， 通 过 建立 健全 的 法 规 可 以 对 数据 泄露 和 数据 丢失 等 问题 进行 改善 ， 减 少 用户 对 云 





服务 的 不 信任 。 


3.4.2 PaaS 云 安全 


相对 IaaS 








E PaaS 









































主要 增加 了 应 用 开发 框架 、 中 间 件 能 力 以 及 数据 库 、 消 息 和 队列 等 


pa - 
Zx d 


功能 的 集成 ， 并 提供 了 一 组 丰富 的 API。 开 发 者 在 PaaS 平台 之 上 可 以 非常 方便 地 编写 应 用 。 








统 、 网 络 和 存储 


是 开发 人 员 。 





Afi 
STO 





开发 的 编程 语言 和 工具 由 PaaS 支持 提供 。 另 外 ， 
E， 这 些 烦琐 的 工作 都 








源 的 管理 















































1. PaaS 的 安全 问题 





Paas 层 的 安全 包含 
合 上 应 用 的 安 




















HNR: 


是 PaaS 平台 自身 的 安全 ， 另 一 层 是 月 
























































通过 PaaS， 用 户 无 须 涉 及 服务 器 、 操 作 系 
Paas 供应 商 负 责 处 理 。PaaS 主要 的 用 户 





H ŠIE Paas ^P 
。 云 服务 供应 商 负责 保障 云 计 算 基 础 架构 〈 防 火 墙 、 服 务 器 和 操作 系统 等 ) 的 
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安全 ， 但 控制 和 保证 云 应 用 安全 的 任务 需要 用 户 自 己 来 承担 。 

对 Paas 提供 商 来 讲 ，PaaS 层 需 关 注 平 台 本 身 安全 ， 主 要 包括 对 外 提供 安全 API、 运 行 安 
全 和 数据 安全 。 

(D API 安全 问题 Paas 层 的 特点 就 是 提供 丰富 的 API， 让 用 户 可 以 通过 这 些 API 在 云 
平台 上 开发 和 部 署 自己 的 应 用 。 不 安全 的 API 会 直接 导致 用 户 开 发 的 应 用 程序 安全 性 降低 。 
同时 Paas 层 也 有 其 特有 的 API 安全 问题 ， 如 不 同 云 服 务 提 供 商 没有 统一 的 API， 这 会 导致 在 
某 一 个 云 平台 上 安全 的 应 用 程序 移植 到 另 一 个 云 平台 后 变 得 不 再 安全 。 例 如 Google App 
Engine 使 用 Python, Java 或 Go 语言 设 定 用 户 安全 配置 ， 而 Force.com 使 用 Apex 语言 设 定安 
全 参数 ， 不 仅 使 用 的 编程 语言 不 同 ， 二 者 所 能 提供 的 安全 服务 水 平 也 不 相同 。 

对 于 Paas 的 API 设计 ， 目 前 国际 上 并 没有 统一 的 标准 ， 这 给 API 的 安全 管理 带 来 了 不 确 
定性 。 另 外 ， 目 前 Paas 提供 的 安全 保障 API 数量 还 不 足 ， 只 能 向 用 户 提供 如 SSL 配置 、 基 本 
的 访问 控制 和 权限 管理 等 基本 安全 功能 。 所 以 增加 安全 功能 API 的 数量 ， 并 向 用 户 提供 完善 
的 安全 保障 服务 也 是 Paag 服务 所 要 考虑 的 一 个 主要 问题 。 

(2) 数据 安全 问题 “在 应 用 管理 方面 ，Paag 的 安全 原则 就 是 确保 用 户 数据 只 有 用 户 本 人 
才能 访问 和 授权 ， 实 行 多 用 户 应 用 隔离 ， 不 能 被 非法 访问 和 窃取 。 在 这 种 环境 下 ，PaagS 层 的 
数据 安全 问题 主要 来 源 于 应 用 程序 使 用 的 静态 数据 是 不 加 密 的 。 这 些 不 加 密 的 静态 数据 很 有 可 
能 被 来 自 内 部 的 攻击 者 或 者 非 授 权 访 问 者 所 窃取 ， 从 而 破坏 数据 的 保密 性 。 

G) 运行 安全 问题 云 服 务 提供 商 应 负责 监控 Pas 平台 的 运行 安全 ， 主 要 包括 对 用 户 应 
] 的 安全 审核 、 不 同 应 用 的 监控 、 不 同 用 户 系统 的 隔离 和 安全 审计 等 。 主 要 措施 是 加 强 软 硬 件 
系统 的 运行 稳定 性 ， 如 及 时 发 布 软件 补丁 更 新 ， 解 决 安 全 漏洞 。 

2. PaaS 安全 对 策 

针对 上 述 提 到 的 安全 问题 ， 可 以 采用 如 下 对 策 来 减少 Paas 安全 风险 : 

D 严格 执行 配置 操作 流程 。 严 格 按 照应 用 程序 供应 商 提 供 的 安全 手册 进行 配置 ， 不 要 留 
有 默认 的 密码 或 者 不 安全 的 账户 。 

2) 确保 及 时 更 新 补丁 。 必 须 确保 有 一 个 变更 管理 项 目 ， 来 保证 软件 补丁 和 变更 程序 能 够 
立刻 起 作用 。 

3) 重新 设计 安全 应 用 。 要 解决 这 一 问题 ， 需 从 两 方面 来 考虑 : 一 方面 需要 对 已 有 应 用 进 
行 重 新 设计 ， 把 安全 工作 做 得 更 细 一 点 ， 确 保 使 用 应 用 的 所 有 用 户 都 能 被 证 明 是 真实 可 靠 的 。 
另 一 方面 ， 可 以 应 用 适当 的 数据 和 应 用 许可 制度 ， 确 保 所 有 访问 控制 决策 都 是 基于 用 户 授权 来 
制订 的 。 
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3.4.3 SaaS 云 安全 
云 计算 市 场 上 增长 最 快 的 服务 模式 是 SaaS. Saas 模式 是 指 供应 商 通 过 Intemet 交付 的 一 
些 核心 应 用 服务 。 用 户 只 要 接 上 网 络 ， 通 过 浏览 器 ， 就 能 直 
接 使 用 在 云端 上 运行 的 应 用 ， 而 不 需要 顾虑 类 似 安装 等 琐 
事 ， 并 且 免 去 初期 高 昂 的 软 硬 件 投入 。SaaS 主要 面 对 的 是 
普通 用 户 。 
SaaS 能 够 提供 独立 的 运行 环境 ， 用 以 交付 完整 的 用 户 
体验 ， 主 要 包括 表现 层 、 接 口 层 及 应 用 实现 层 ， 如 图 3-15 E15 Sas-mE 
所 示 。 
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表现 层 将 SaaS 软 伯 


中 











gui 


T 











接口 方面 ， 以 统一 接口 的 方 
组 合 。SaaS 模式 面向 长 
够 方便 地 服务 了 








尾市 











式 方便 用 户 和 其 他 应 
场 aT , 要 求 SaaS 软 


























E 流 与 业务 流 进行 分 离 ， 解 决 了 投资 和 
] 远 程 通过 标 闪 
牛 具备 配置 能 力 和 资源 共享 ， 使 得 一 套 软 伯 


E 接 





























多 个 用 户 。 
HJ 








F SaaS IERSE 











Web 客户 端 或 一 组 Web 服务 ， 





因此 大 多 数 威胁 都 被 留 给 了 供 











EJ" IRE. SaaS 软件 在 
日 软件 模块 ， 实 现 业 务 


Lob 
FHE 








口 调 月 


























应 商 ， 客 户 通常 上 只 需 负 责 操作 层 的 安全 功能 ， 包 括 用 户 的 访问 管理 、 身 份 认证 ， 所 以 选择 


SaaS 提供 商 需要 特别 慎重 。 
1. SaaS 的 安全 问题 


SaaS 的 特性 决定 了 云 服务 提供 商 对 整个 服务 的 安全 性 负 主 要 责任 ， 因 

















务 提供 商 提 供 的 应 








TE 


EJP, 





SaaS 层面 临 的 主要 安全 问题 有 权限 管理 的 安全 问题 、 
云 服务 不 透明 和 版 权 等 问题 。 其 中 的 版 权 问题 属 非 技 术 性 安全 机 于 
慨 ， 云 服务 提供 商 所 提供 的 
FBt. 1E H 


CD 权限 管理 的 安全 问 
限 管理 手段 可 以 说 是 用 户 可 














除了 避免 误 操 作 ， 用 户 只 能 














题 在 SaaS 
用 的 唯一 安全 控制 手 














使 用 服务 提供 商 提供 的 安全 措施 。 
数据 处 理 
jes] 























HPR 





为 月 
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是 使 用 

















的 安全 问题 、 软 件 漏洞 、 






































在 着 访问 探 人 
版 本 文件 的 访问 控 
户 仍然 可 以 共享 文件 中 的 内 























判 标 ; 准 不 一 致 的 问题 。 比 如 Google Docs Ai 
剖 就 存在 着 不 一 致 问 题 ， 这 就 可 能 造成 当月 





WEST. 














在 云 计 算 中 实施 成 功 有 





TH 


效 的 权限 管理 























更 新 以 及 删除 账户 ，@ 实 
息 ， 不 但 用 它 来 控制 在 云端 









































EX 





至 少 应 包括 : C 云 服务 提供 商 安 全 和 及 时 地 创建 、 
岗 跨 云 的 身份 认证 和 管理 ，@) 建立 可 信任 用 户 配置 文件 和 规则 信 


前 SaaS 层 提供 的 权限 管理 
F 的 内 构图 
有 户 停 止 共 享 这 个 文件 时 ， 其 他 用 








FE 与 访问 控制 等 权 
手段 存 
片 的 访问 控制 机 制 与 旧 


Z f) S ul 













































































(20 数据 处 到 














的 安全 问 
在 着 数据 泄露 的 风险 。 但 是 SaaS 层 数据 泄露 的 风险 比 Paas 


服务 的 访问 ， 而 且 运 行 方式 符合 








计 的 要 求 。 









































题 Saas 层 的 应 用 程 














户 可 以 通过 自己 开发 一 定 的 
全 防范 只 能 由 云 服务 提供 商 























(3) 云 服务 不 透明 问题 


全 


借 此 评估 整个 云 平 台 的 安 














和 和 云 服 务 提供 商 应 i 
面 的 信息 ， 以 便 用 户 可 以 有 
供 云 平台 的 技术 细节 等 安全 
2. SaaS 安全 对 策 
1) 建立 用 户 登录 机 

















ill. 


序 在 使 








月 








日 静 态 数 据 时 不 对 数 ] 





据 进 行 加 密 ， 存 




















防范 程序 来 预防 数据 泄露 ， 
提供 。 











IaaS 和 PaaS 服务 模式 会 


向 

















a| 


ita 





性 ， 尤 其 在 IaaS 层 ， 用 户 的 



































评估 云 平台 安全 


Vi 





效 
评估 内 容 。 


性 
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因此 ， 接 入 云端 的 用 户 应 该 尽 可 能 降低 这 一 方面 的 安全 
-来 确保 浏览 器 及 传输 通道 的 安全 四 
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2) SSH 是 一 种 在 不 安全 网 络 上 提供 安全 远程 登录 及 其 他 安全 网 络 服务 的 协议 ， 最 初 是 
UNIX 系统 上 的 一 个 程序 ， 后 来 扩展 到 其 他 操作 平台 。 

3) VPN 是 一 个 通过 因特网 的 临时 的 、 安 全 的 隧道 ， 使 用 这 条 隧道 可 以 对 数据 进行 加 密 以 
达到 安全 使 用 互联 网 的 目的 ， 并 保证 数据 的 安全 传输 。 
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第 4 章 








数据 安全 与 云 存储 








自 云 计算 概念 提出 以 来 ， 关 于 其 数据 安全 性 的 质疑 就 一 直 不 曾 平 鼠 。 目 前 ， 业 界 普 遍 认 


为 外 包 数 据 的 安全 是 云 服务 推 广 的 最 大 障碍 。 本 章 首 儿 
据 所 面临 的 威胁 、 相 应 的 安全 需求 以 及 针对 
数据 安全 做 一 个 简单 阐述 。 
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4.1.1 数据 外 包 的 安全 风险 
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这些 需 求 可 以 采取 

















的 应 对 措施 ， 然 后 对 云 存 储 上 的 


] 户 需要 将 自己 的 数据 存放 在 云 数据 中 心 ， 委 托 云 服 务 提 
取 相应 服务 。 对 于 
E 以 接受 的 。 其 主要 担忧 就 是 外 包 数 
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数据 服务 外 包 是 云 计算 的 一 个 自然 适应 过 程 。 然 而 ， 企 业 和 个 人 考虑 到 数据 外 包 的 安全 





和 隐私 问题 都 不 愿 采用 公有 云 月 
储 和 计算 资源 来 存储 和 处 弄 
存储 、 存 储 在 何 处 、 又 与 哪些 

换言之 ， 当 用 户 选 择 云 存储 服务 时 ， 
很 少 有 云 服务 提供 商 能 够 为 其 

















目前 为 止 ， 





R 务 。 他 们 的 犹豫 是 合理 的 。 一 方面 ， 人 们 希望 充分 利 





























户 的 数据 存储 到 一 起 。 














他 们 的 数据 ， 另 一 方面 ， 用 户 不 知道 自 





























存在 云 中 的 外 包 数 据 提供 
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己 的 个 人 数据 会 以 何 种 形式 














总 希望 仍 能 够 保持 对 其 外 包 数 据 的 完全 控制 。 但 到 
客户 提供 这 种 支持 。 相 反 ， 云 客户 却 有 责任 为 
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从 公有 云 、 社 区 云 与 混合 云 三 种 云 计 算 模式 可 知 ， 它 们 的 数据 存储 系统 采取 的 是 共享 模 
式 ， 这 样 ， 客 户 之 间 有 可 能 会 无 意 间 获取 对 方 的 数据 。 大 多 数 企业 为 了 节省 成 本 而 把 数据 转移 
到 外 部 的 云 ， 数 据 移 转 到 云端 的 过 程 是 通过 互联 网 进行 的 ， 这 中 间 也 会 出 现 数据 移 转 风 险 。 








除 云 系统 本 身 存在 的 缺陷 外 ， 内 部 人 员 监 家 自 盗 ， 即 假设 云 
会 影响 企业 使 用 者 或 云 服务 提供 商 的 
会 涉及 法 律 问题 。 因 








云 上 的 用 户 数据 做 非法 之 事 ， 
务 提 供 商 使 用 未 经 用 户 授权 的 个 人 数据 时 ， 就 













































































服务 提供 商 的 内 部 员工 利用 
言 誉 。 所 以 当 第 三 方 或 云 服 
此 ， 云 安全 联盟 (CSA) 提 














出 的 七 大 威胁 中 ， 就 包括 “数据 泄露 ”和 “恶意 内 部 员工 ” 这 两 项 威胁 与 数据 移 转 风险 有 关 





联 ， 
2. 黑客 风险 


如 今 网 络 环境 多 元 化 ， 如 3G. 4G 或 Wi-Fi. p 





新 形态 的 网 络 黑客 攻击 。 





会 影响 到 IaaS、PaaS 和 SaaS 云 。 














上 连接 网 络 的 工具 多 样 化 。 云 计算 面临 





比如 云 计算 的 虚拟 平台 有 可 

















关于 修改 云 计算 的 服务 有 








Qe A ql 

















站 黑客 算 改 、 贸 取 或 删除 数据 。 





H6 zx 1B 


可 能 是 商业 间谍 的 行为 。 网 络 罪犯 会 利用 云 计算 的 基础 设施 ， 从 事 














非法 行动 。 例 如 散播 僵尸 网 络 ， 即 ; 








各 云 计算 的 服务 器 当 作 便 尸 网 络 的 控 管 中 心 ， 通 过 网 络 来 
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染病 毒 。 
3. 身份 验证 风险 
目前 ， 云 计算 安全 机 制 令 人 担忧 的 事 是 
利 。 当 只 采用 密码 作为 访问 云 系统 的 钥 是 时 ， 若 
道 防范 措施 。 同 时 这 也 凸显 身份 验证 存 寿 
的 用 户 就 是 用 户 本 人 ， 这 牵扯 到 授权 问题 。 依 照 2009 4j 
的 威胁 是 挟持 账户 或 服务 ， 如 通过 网 络 钓鱼 
点 。 若 此 情况 发 生 ， 这 也 会 涉及 法 律 问题 。 
4 云 服务 器 失效 风险 

云 服 务 器 发 生 宕 机 ， 可 能 会 给 
Men 问题 ， 这 样 云 用 户 的 数据 处 到 
处 理 。 另 外 ， 云 系统 软件 版 本 更 新 ， 也 可 能 会 造成 数据 丢 








只 需 
































































































































服务 被 中 Wr , 如 果 











H 














TAR, g 
]P mit 
ERS 
年 IBM 的 云端 安全 
的 方式 ， 入 侵 账 户 来 攻击 云 计 算 服 务 提供 


云 使 用 者 造成 极 大 损失 。 云 服务 提供 





可 以 窃取 机 密 ， 让 投机 分 子 得 
肖 ， 数 据 可 能 会 被 其 他 人 帘 视 ， 因 
云 服务 提供 商 该 如 何 确 认 云 端 服 务 
指南 ， 还 有 可 能 出 现 
商 的 弱 


















































商 出 现 故 障 、 停 电 
耽搁 到 用 户 数据 处 理 的 时 间 ， 该 如 何 
失 。 当 与 他 人 共享 云 服务 提供 商 押 提 














供 的 资源 、 软 件 版 本 和 硬件 时 ， 在 系统 更 新 后 ， 云 计算 存 
务 提供 商 之 间 应 该 订立 SLA, 

S， 标 准 与 规范 缺失 风险 
目前 ， 云 计算 在 技术 上 没 

















有 统 




















避免 服务 器 失效 所 带 来 的 损 


的 标准 和 规范 ， 各 大 云 服务 提供 商 在 


在 失效 风险 。 鉴 于 此 ， 云 用 户 和 云 服 
失 。 





L| 
Li 











上 自己 产品 的 同 























We 自 准 ， 云 服务 提供 商 的 平台 以 及 





























应 用 通常 不 兼容 ， 这 使 得 数据 在 各 个 














己 的 技术 标 

台 间 的 迁移 变 得 相当 困难 ，Ti 
据 安 全 也 其 为 堪忧 。 

Je 
题 ， 不 是 纯 技 术 问 题 ， 但 可 以 通过 技术 手段 协助 解决 。 因 
一 定 的 数据 使 用 约束 ， 通 过 双方 的 信誉 和 技术 约束 手段 ， 
和 破坏 。 就 用 户 来 讲 ， 可 以 选择 信赖 的 服务 提供 商 ， 约 定 一 











j 在 复杂 的 商业 竞争 环境 中 ， 














2 
























































上 述 数据 安全 问题 的 本 质 是 数据 所 有 方 和 服务 方 之 间 的 信任 管理 


云 服 务 提供 商 若 终止 服务 ， 用 户 数 


E， 这 是 一 个 社会 问 

此 ， 用 户 和 云 服务 提供 者 之 间 需 形成 

共同 促成 数据 的 合法 使 用 而 不 被 滥用 
种 双方 都 满意 的 安全 机 制 ， 
































个 人 利益 最 大 化 的 保障 。 就 服务 提供 商 而 言 ， 一 旦 失去 诚 
4.1.2 ”数据 外 包 的 生命 周期 


个 典型 的 云 应 用 需求 从 云 终 癌 
结果 返回 到 云 终端 的 过 程 。 
所 示 。 












































EO 


输出 准备 
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发起， 达到 云端 后 通过 各 层 云 
从 服务 流程 可 以 归纳 出 云 计算 服务 的 典型 数据 生命 


— 5 " 
nmo  ( maet | 


4-1 云 环 境 下 数据 的 生命 周 


以 达到 
信 ， 将 无 立足 之 地 。 


服务 完成 一 次 服务 请 求 并 将 


周期 ， 如 图 4-1 




















数据 备份 
» 

















IH 


从 图 4-1 可 以 看 出 ， 
D 数据 创建 /传输 
的 ， 然 后 被 推送 到 云 
问 权限 、 安 全 等 级 等 探 表 
































2) 数据 接收 (Data Reception). 
这 一 阶段 的 数据 安 








中 。 为 了 保证 
数据 隔离 等 措施 。 
3) fit 








4) 数据 检索 (Data Retrieval)。 月 


被 云 终端 用 户 或 其 他 云 月 





FETTE 


准备 《Output Preparation )。 对 数据 进行 加 


数据 生命 周期 大 致 包含 以 下 几 个 阶段 : 
(Data Creation/Transmission)。 这 是 数据 初始 了 





介 段 ， 数 据 是 | 

















用 户 创建 


























省 费 。 为 了 保障 这 一 过 程 的 可 信和 与 安全 ， 需 
同时 需要 维护 传输 过 程 中 数据 的 私密 必 








l, 


要 对 数据 进行 加 密 和 访 
输 后 的 数据 完整 性 。 








ERM 
GRE ZH 
需要 进行 数据 完整 性 校 验 ， 采 取 数 





ÆA 


in ow i 














被 接收 ， 然 后 写 入 内 











存 和 硬盘 等 存储 空间 
据 加 密 、 完 整 性 保证 和 





[， 并 反馈 给 用 户 。 











昌 户 接收 来 自 云 端的 数据 ， 并 使 2 








处 于 用 户 域内 。 当 数据 














RIE 





JEF, 需要 检查 数据 的 来 源 以 及 完 整 性 ， 




















同时 进行 解密 。 














5) 数据 存储 /备份 (Data Storage/Backup )。 数 据 存 储 就 是 数据 以 某 种 方式 、 某 种 格式 存储 





在 


zi 














| 算 机 本 身 或 者 外 部 存储 介 








质 上 。 常 规 的 存储 方式 就 是 将 数据 存在 便 





| 算 的 海量 数据 如 果 按 此 方法 存储 ， 不 仅 需 要 巨大 的 存储 介 








质 ， 而 且 





询 与 更 刘 
fH 


























据 进行 迁移 。 
7) 数据 籼 
中 永久 删除 ， 处 到 











所 等 操作 所 花费 的 时 间 也 可 能 满足 不 了 要 求 。 而 且 这 些 存储 介 
的 存储 方式 就 使 得 云 计算 平台 完全 不 具备 安全 性 和 高 效 性 
6) 数据 迁移 (Data Migration)。 为 了 数据 的 可 用 性 或 可 伸缩 怕 


IR (Data Deletion). 
后 的 存储 空 


质 








的 特点 。 











盘 等 存储 介质 上 。 但 是 
用 户 对 于 这 些 数据 的 查 
TUE RC, XX 


























生命 周 
间 可 以 被 


期 已 经 台 








题 ， 数 据 残 留 是 数据 在 
建 原始 数据 。 
云 服务 提供 




















商 应 保证 ， 在 释放 














被 以 某 种 形式 擦 除 























JP FET 




















将 存储 介质 上 的 信 ， 
保证 数据 安全 方面 ; 








4.2 














云 存储 是 云 计算 


完整 性 、 





性 、 





机 密 性 、 完 整 性 和 可 用 性 。 





数据 安全 的 重要 特性 。 
4.2.1 机 密 性 











息 完 全 ; 
ERTE 


间 后 ， 并 在 习 
同时 还 要 向 用 户 提供 完善 的 数据 备份 与 














IBR. 
EE 要 作用 。 




















数据 安全 需求 





一 项 非常 重要 的 云 服务 。 云 存储 供 


























中 ， 机 密 性 、 完 整 性 各 





] 性 是 被 广泛 认 














保护 数据 机 密 
钥 到 云端 服务 器 。 因 








Ad 


生 的 常用 方法 就 是 对 存储 在 服务 器 中 的 数据 进行 加 密 并 且 


E. ZR d 


EE 新 分 配给 其 他 月 





要 在 云 内 部 对 数 


绪 束 的 数据 必须 采用 数据 销毁 技术 从 云 
器 收 ， 继 续 使 用 。 此 阶段 可 能 会 存在 数据 残留 问 
后 所 残留 的 数据 碎片 ， 这 些 碎片 有 可 能 被 月 





H 


Ho E 





























昌 户 使 用 前 ， 应 该 
灾难 恢复 功能 ， 这 些 在 








应 商 应 考虑 的 问题 是 数据 的 保密 
有 效 性 、 相 互 不 可 抵赖 性 、 数 据 新 鲜 度 、 数 据 复制 和 恢复 等 。 


云 客 户 更 关心 的 是 
保存 储 在 云 中 





可 的 能 确 











从 不 发 送 解 











和 者 在 云端 服务 器 只 能 访问 加 密 数据 ， 因 




















是 ， 这 种 方法 不 能 应 


于 需要 对 数据 进行 计算 的 系统 中 


此 不 会 看 到 数据 内 容 。 























， 如 Web 应 用 








机 器 学 习 工 具 等 。 


sF o 


事实 上 ,目前 





几乎 





所 有 系统 都 遵循 相同 的 策略 ， 即 尽量 防止 攻击 














此 策略 的 内 在 原因 
策略 具有 多 种 实现 


是 ， 














方法 














如 果 攻 击 者 无 法 入 侵 服 务 器 ， 他 们 就 不 和 


EE 访问 服务 器 中 数据 。 这 利 








程序 、 移 动 应 用 程序 


fF 者 闻 入 服务 器 。 采 取 


IT 


























IN 
， 如 在 操作 系统 层面 进行 安全 策略 检查 、 应 














程序 代码 的 静态 或 动 
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态 分 析 等 。 





尽管 如 此 ， 数 据 泄露 问题 依然 存在 。 
得 敏感 数据 。 其 原因 








ARB, FY 
And. RA ARAA 
数据 。 














在 云 环 境 下 ， 导 致 数据 机 密 性 问题 的 主要 缘由 














ER 




















首先 ， 众 所 周知 ， 
是 ， 如 今 的 软件 都 异常 复杂 ， 很 难 做 到 没有 


取 访 问 服务 器 的 管理 权限 ， 从 而 可 以 访问 所 有 存储 在 服务 器 -| 


1) 多 租户 问题 。 多 租户 共享 存储 器 、CPU、 数 据 、 应 月 





数据 泄露 和 隐蔽 通道 等 问题 ， 
2) 弱 认 证 机 制 。 身 份 认 订 
设备 和 软件 等 。 云 中 
3) 客户 端 系统 漏 




































































有 机 会 访问 云 环 境 存 储 的 数据 信息 ， 造 成 数据 泄露 。 








hi 


黑客 能 够 通过 软件 缺陷 侵 
isi]. 

















T 



































有 以 下 几 种 : 





程序 、 网 络 和 缓存 等 都 可 能 造成 


故 多 租户 可 能 产生 机 密 性 问题 。 
E 能 保护 用 户 账号 以 防 被 盗 ， 只 有 合法 的 月 
决 少 强身 份 认证 机 制 将 导致 机 密 性 问题 。 
洞 。 客 户 端 操作 系统 的 设计 缺陷 会 成 为 云 环境 外 攻 避 








HZ SEU HERE 











和 者 的 目标 ， 攻 击 者 

















4) 软件 更 新 和 维护 。 云 服务 提供 商 承 担 着 客户 的 软件 更 新 和 维护 责任 ， 它 有 权力 访问 











应 月 
人 员 不 仅 能 访问 隐私 数据 ， 而 上 且 
性 问题 。 

5) API 泄露 。 云 服务 应 该 
。 然 而 ， 这 会 使 黑客 掌握 API 


^ 















































程序 的 数据 信息 ， 客 户 不 仅 要 信任 云 服 务 提供 

















商 而 且 要 信任 云 有 








有 务 内 部 运 维 人 员 。 





运 维 


| 也 能 搜集 谁 访问 过 这 些 信息 的 元 数据 ， 这 也 会 导致 数据 机 密 








使 用 标准 的 API 并 
bU Nu. CBE 





向 公众 











于 放 ， 以 方便 用 户 更 换 云 服务 提供 


E 带 来 安全 问题 。 



























































机 密 性 是 云 平台 最 大 的 安全 问题 ， 也 是 目前 研究 最 多 的 云 安全 问题 。 数 据 从 产生 、 使 
用 、 传 输 、 转 变 、 存 储 、 存 档 到 销毁 的 各 个 阶段 都 需要 保证 机 密 性 。 加 密 技 术 、 授 权 和 访问 控 
制 、 身 份 认证 机 制 等 能 保证 数据 机 密 性 。 

为 保证 云 计 算 系 统 中 数据 的 机 密 性 ， 首 先 需 要 加 强 对 相关 人 员 的 管理 ， 其 次 可 以 通过 























些 技术 了 








商 ， 都 要 对 数据 进行 加 密 ， 这 样 





BE 





20 访问 控制 。 访 问 控制 机 


bi 

















会 


H 
保证 数据 的 隐私 性 ， 
来 保证 授权 月 
































保证 云 计算 安 





A 


[5 




















F 段 保障 数据 机 密 性 。 目 前 的 主要 技术 解决 方案 有 以 下 几 种 : 
D 加 密 技 术 。 加 强 数据 的 私密 性 才 











论 是 用 户 还 是 存储 服务 提供 





又 可 以 进行 数据 隔离 。 
日 户 可 以 访问 数据 和 阻止 非 授权 














] 户 访问 系统 








数据 。 访 问 控制 包括 认证 和 授权 两 个 方面 。 目 前 的 云 服 务 提供 商都 是 通过 弱 认 证 机 制 如 用 户 名 











密码 形式 来 完成 认 训 











BE) 














授权 级 别 仅 有 管理 员 授 权 和 用 户 授权 ， 而 在 这 两 利 














VL Er dE S 
技术 ， 提高 云 
3) 身份 认证 。 身 份 认 记 
定 的 用 户 名 和 密码 判断 月 
法 、 密 码 加 密 法 、 
攻击 者 很 容易 获取 





Ts EE 大 安全 问题 。 


I 


IS 










































































I A o 








VERAS. A 








昌 户 身份 


此 ， 需 要 在 云 计算 了 
j 户 身份 及 其 访问 控制 的 安全 性 。 
E 的 方式 有 很 多 ， 比 较 常 用 的 是 密码 验证 ; 
F 法 又 可 以 被 分 为 直接 存储 法 、 
时 戳 法 和 随机 法 等 。 这 种 方法 的 安全 性 较 低 ， 若 是 服务 器 将 月 


还 有 一 些 身份 认证 技术 ， 如 4 


AE TH 








开 提 供给 用 户 相 对 粗 粒度 的 授权 访问 控制 。 




















般 云 计算 提供 商 所 提供 的 











"授权 中 间 没 有 
台中 引入 高 安全 性 的 身份 认证 








他 等 级 ， 这 种 粗 粒 度 的 访问 
机 制 和 访问 


























是 否 合法 。 





密码 验 计 








E 物 认证 技术 、 动 态 日 




















Wu 




















4) 孤立 虚拟 机 。 既 然 多 租 
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Ap 
ERN B 




















电子 口令 系统 认 订 
F 方 式 都 有 各 自 的 优点 和 缺点 ， 为 了 保证 安全 性 ， 系 统 应 该 采用 多 如 
FE 机 制 ， 提 高 云端 数据 的 安全 性 。 
] 户 是 数据 隐私 问题 的 主要 来 源 ， 因 


法 之 一 ， 即 : fElaaS 级 ， 对 存储 、 内 存 和 处 理 等 进行 抓 立 ;在 Paas 级 ， 需 好 















































im 


eu. 


能 卡 的 
ES) 





F 方 式 、 基 于 智 

















此 孤立 虚拟 机 也 是 解决 广 


ZXI API 调用 、 操 





























































































































作 系 统 处 理 进行 孤立 ， 在 Saas 级 ， 要 强调 对 同一 软件 上 运行 的 事务 进行 孤立 。 
4.2.2 ”完整 性 

除了 数据 的 机 密 性 ， 还 需要 关注 数据 完整 性 。 机 密 并 不 意味 着 完整 性 ， 数 据 可 通过 加 密 
技术 来 实现 机 密 的 目的 ， 但 可 能 无 法 验证 数据 的 完整 性 。 

云 平台 存在 的 完整 性 问题 主要 如 下 ， 

D 节点 完整 性 。 云 平台 将 数据 存储 在 某 个 节点 上 ， 该 节点 必须 保证 自己 就 是 声称 的 身 








份 ， 云 才能 信任 该 节点 并 将 数据 存 
权 的 删除 、 修 改 和 伪造 等 。 
20 过 程 完整 性 。 过 程 
3) 信任 管理 
































完整 性 是 指数 据 在 节点 之 间 
问题 。 这 主要 是 指 节点 完整 性 和 过 程 完 整 性 的 说 





传输 时 ， 





庄 在 该 节点 上 上。 数据 存储 在 节点 上 还 要 防 J 





上 数据 被 非 授 











` 会 受到 非法 的 算 改 。 











E 明 过 程 在 多 大 程度 








的 ， 是 对 节点 和 通信 过 程 安全 性 的 主观 认 知 。 


























目前 ， 对 于 数据 完整 性 











1) 数字 签名 。 采 用 计算 机 加 密 技 术 ， 允 





4 检测 方法 3 


让 一 ES 
m 




















2) 数字 水 印 。 将 数字 


za 


















































































































































ERW, BEBAR 
以 通过 检测 载体 中 隐藏 的 信息 对 数据 进行 辨别 。 
4.2.3 可 用 性 
云 环境 不 仅 需要 关注 机 密 性 和 完整 性 等 问题 ， 
革 些 原因 ， 用 户 的 数据 变 得 不 可 j 
节点 必须 具有 一 定 的 容 
的 数据 仍然 可 用 。 
在 云 计算 环境 中 ， 对 数据 可 用 性 存在 的 威胁 主要 有 














即 要 保障 现 有 云 系统 的 基础 网 络 环境 的 安 


L 


全 性 ; © 云 用 户 者 必须 而 
不 提供 数据 备份 等 。 




















直接 或 间接 地 加 载 3 























A. 























数字 签名 和 数字 水 印 P 
数据 的 单元 格 进行 变化 。 
到 数字 载体 








SR 








方法 








还 要 关注 数据 的 可 











1f 








上 是 可 信 


o 


P， 这 不 但 不 会 对 原 有 的 数据 价 
上 二 次 修改 。 但 是 ， 数 字 水 印 检测 对 数据 拥有 者 也 具有 辨识 性 能 ， 可 











问题 。 如 果 由 于 





上 月， 这 对 于 用 户 来 说 是 非常 不 方便 的 。 因 
普 性 来 文 持 24X7 的 操作 ， 在 发 生 故 障 或 中 断 的 情况 下 ， 保 说 








数据 备份 和 不 依赖 云 为 数据 唯一 来 源 是 解决 可 


4.2.4 “远程 访问 




















jfi 











问题 的 一 种 可 行 方法 。 











此 ， 云 端 内 部 的 
ELA 





三 个 方面 : CO 基于 网 络 的 攻击 ， 
ESQ 云 服 务 本 身 的 可 用 性 ， 即 云 计算 系统 安 
第 定 他 们 的 云 服务 提供 商 真 正 提供 什么 服务 ， 如 有 些 服务 提供 商 








在 本 质 上 说 ， 云 端 是 一 个 公共 区 域 。 这 些 服务 通过 HTTP 都 可 以 访问 。 对 数据 和 服务 的 








访问 需要 控制 只 


CD i 























获取 到 授权 的 人 才能 够 进行 。 云 环 : 
正 ” 云 服务 提供 商 必须 确保 那些 试图 
的 人 员 都 不 能 访问 数据 ， 实 体 的 身份 必须 经 过 确认 ， 这 意味 着 必须 进行 身份 管 ] 









































































































































说 中 存在 的 远程 访问 问题 主要 如 下 : 
访问 服务 的 人 是 经 过 认证 的 。 没 有 经 过 认证 









































(2) 授权 一 旦 访问 数据 的 实体 的 身份 被 认证 ， 那 么 云 服 务 提供 商 就 需要 对 这 些 被 访问 
的 数据 进行 控制 和 管理 。 经 过 认证 的 用 户 不 能 访问 那些 他 们 未 授权 的 数据 。 

(3) 位 置 ” 用 户 获 得 服务 或 资源 总 是 在 不 同 的 位 置 。 认 证 的 用 户 应 该 始终 被 执行 ， 而 不 
应 该 通过 链接 到 中 间 的 设备 来 获得 服务 。 

(4) 废止 ”对 个 人 数据 访问 的 废止 或 对 服务 的 禁止 是 一 个 


















































要 的 安全 需求 。 


中 ,位置 隐私 、 身 份 和 授权 这 几 个 问题 是 云 服务 提供 商 应 该 解决 的 ， 服 务 的 废止 、 对 
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数据 的 分 配 和 访问 应 该 由 用 户 自 己 解决 。 


42.5 不 可 依赖 性 
无 论 是 云 服 务 提供 商 还 是 用 户 都 不 能 否认 数据 的 来 源 ， 并 且 拒 绝 数据 的 完整 性 。 而 且 ， 


























数据 生命 周期 中 每 一 个 可 变 的 记录 都 需要 被 保存 下 来 。 如 果 一 个 云 服 务 提 供 商 试图 骗取 用 户 ， 









































那么 数据 生命 周期 中 对 数据 的 操作 应 该 是 有 据 可 查 的 。 如 果 一 个 云 服 务 提 供 商 是 不 诚信 的 ， 那 
么 他 可 能 宣称 用 户 使 用 了 比 实际 更 多 的 资源 。 在 这 种 情况 下 ， 用 户 将 支付 更 多 的 费用 。 不 可 抵 

















赖 性 的 实现 需要 由 








42.6 ”新 鲜 度 























确保 被 检索 数据 是 新 鲜 的 ， 即 新 全 
























































] 户 和 云 服 务 提供 商 共同 协商 来 解决 。 








数据 是 系统 最 近 更 新 的 数据 。 当 多 个 用 户 可 以 同时 更 




















新 数据 时 ， 共 享 的 和 动态 的 环境 非常 重要 。 云 用 户 需 要 确保 检索 到 的 数据 是 最 新 的 版 本 。 

















CloudProof 是 目前 唯一 宣称 支持 数据 新 多 


43 数据 安全 


我 们 已 经 知道 





























FREIRTE R". 


Hu EE AI TE ETE zm IE IUS D ERER ZSBEOBUT H P i i kA 





改 。 机 密 性 、 完 整 性 和 可 用 愧 











E 是 其 主要 的 安全 属性 。 








现 阶段 ， 云 中 数据 安全 防护 技术 主要 有 数据 加 密 、 数 据 隔离 和 数据 残留 等 。 


43.1 数据 安全 的 内 涵 
数据 安全 有 两 个 方面 的 含义 ;一 方面 是 指 对 数据 进行 主动 保护 ， 保 证 数据 不 会 被 泄露 而 
造成 不 必要 的 损失 ， 另 一 方面 是 数据 防护 的 安全 ， 主 要 是 采用 一 些 技术 手段 对 数据 进行 防护 ， 














如 通过 数据 备份 和 异地 容 灾 等 手段 保 订 




































































E 用 户 能 够 随时 准确 无 误 地 获取 自己 的 数据 。 



































总 的 来 讲 ， 用 户 在 选择 云 计算 服务 时 ， 应 该 关注 与 数据 安全 有 关 的 内 容 如 下 : 
(1) 数据 传输 和 处 理 安全 ”将 用 户 私密 数据 通过 网 络 传递 到 云端 进行 处 理 时 ， 需 要 考虑 





以 下 几 个 方面 的 问题 : 确保 








的 合法 访问 者 ， 并 保证 用 户 在 任何 时 候 都 可 以 安全 地 访问 自己 的 数据 。 

(20 数据 存储 安全 
等 问题 。 在 云 环境 下 ， 相 比 传统 数据 存储 模式 而 言 ， 用 户 可 能 面临 一 些 新 的 风险 : GD 用 户 
上 ， 甚 至 根本 不 了 解 这 人 台 服 务 器 放置 在 哪个 国家 ， 得 到 





























不 清楚 自己 的 数据 被 放置 在 哪 台 服 务 器 
















































































户 数据 在 网 络 传输 过 程 中 不 被 窃取 ;人 @ 保证 云 计 算 服务 提供 
商 不 将 企业 数据 泄露 出 去 ，@) 在 云 计 算 服务 提供 商 处 存储 数据 时 ， 保 证 访问 用 户 是 经 过 认证 










































































数据 存储 包括 数据 的 存储 位 置 、 数 据 的 相互 隔离 、 数 据 的 灾难 恢复 





































































































的 只 是 云 服务 提供 





























432 ”数据 加 密 


商 的 
问题 ， 能 否 确保 用 户 数 | 
有 效 隔离 ，@ 即使 企业 月 
诺 ， 对 所 托管 数据 进行 备 























ub; D 云 计 算 服 务 提供 商 在 存储 数据 所 在 国 是 否 会 存在 信息 安全 等 
GE: © 云 计 算 服务 提供 商 能 否 保 证 不 同 用 户 的 数据 之 间 进 行 
户 了 解数 据 存放 的 服务 器 准确 位 置 ， 也 必须 要 求 服务 提供 商 作 出 承 
份 ， 以 防止 出 现 重 大 事故 时 ， 企 业 用 户 的 数据 无 法 得 到 恢复 。 






















































































对 于 存储 在 第 三 方 云 平台 上 的 数据 在 存储 设备 上 以 及 传输 过 程 中 都 会 变 得 透明 化 ， 要 保 
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T 


证 数据 安全 ， 最 基本 的 措施 是 使 用 公 钥 对 云 中 数据 进行 加 密 ， 接 收 者 使 用 私 钥 对 加 密 的 内 容 进 


行 解密 。 

















Z 


















































论 存储 在 哪里 都 会 








受到 保护 。 
云 计 算 中 的 数据 所 处 的 状态 可 以 划分 前 














] 户 希望 云 服务 提供 商 能 为 用 户 数据 进行 加 密 ， 




















以 确保 他 们 的 数据 无 











同时 ， 云 服务 提供 商 也 有 责任 保护 云 
态 存 储 状态 、 传 输 状态 和 处 理 状态 。 

















状态 中 ， 数 据 都 面临 着 泄露 的 风险 。 针 对 这 三 种 状态 ， 


解决 方案 。 


1. 静态 数据 存储 
静态 的 数据 表示 存在 于 存储 服务 
文件 等 形式 存储 在 云 平 台中 。 
此 类 数据 的 关注 点 是 数据 的 完整 怕 
静态 数据 的 加 密 方案 可 以 使 月 

。 比 如 Amazon 的 简单 存 
行 加 密 数 据 。S3 会 在 月 
工具 为 数据 生成 MD5 校 验 ， 这 样 可 以 有 效 地 保证 
户 数 据 的 敏感 度 ， 然 后 再 
IaaS 层 数据 的 机 密 性 、 








的 解决 方案 
据 之 前 















































证 ; 数据 的 完 整 性 主要 通 








该 类 静态 数据 不 需 


























E 和 可 用 性 。 
日 传统 的 数据 加 密 六 












































昌 户 存储 数据 的 时 候 
数据 的 完整 性 。 
民 据 数据 敏感 度 划分 数据 ， 对 上 


完整 性 和 可 用 性 三 





























过 身份 验证 、 














访问 管 
第 三 方 软件 工具 进行 。 


























里 和 静态 数据 加 密 来 保证 。 











FPF 没有 必要 进行 处 理 的 数据 ， 



































] 户 数据 的 安全 性 。 





云 服 务 提 供 


储 服务 〈S3 ) 并 不 加 密 用 户 数据 ， 但 是 


























个 方面 是 月 











动 生成 一 个 MD5 散 列 ， 不 需要 使 
E。 微 软 的 云 存 储 系统 则 会 辨识 
较 敏 感 的 数据 进行 加 密 。 

昌 户 对 于 存储 数据 关注 的 核心 安全 














在 这 三 种 
商 可 以 分 别提 供 相应 的 























通常 以 文字 、 图 片 和 影音 

















要 参与 运算 ,仅仅 利用 云 的 存储 功能 。 用 户 对 
因而 静态 数据 能 够 用 密码 学 加 密 技术 进行 保护 。 
方式 ， 但 不 同 的 云 服务 提供 商会 提供 不 同 





















































] 户 可 以 在 上 传 数 
外 部 






























































问题 ， 也 是 云 存储 安全 技术 的 研究 重点 。 数 据 的 可 用 性 主要 是 通过 宛 余 备份 的 方式 来 保 
过 访问 管理 和 数据 校 验 等 方式 进行 保证 ; 
静态 数据 加 密 可 以 使 用 云 服务 供应 商 或 者 





数据 的 私密 性 主要 是 通 























在 Paas 层 加 密 静 态 数据 一 般 会 较 复 条， 需要 提供 商 提供 的 或 专门 定制 的 设备 。 在 SaaS 














层 加 密 











静态 数据 是 云 用 户 无 法 
对 于 PaaS 和 SaaS 模式 




















直接 实施 的 ， 


需要 向 云 服务 提供 








基于 云 的 应 


























程序 所 使 














的 ， 因 为 加 密 数 据 将 导致 索引 和 查询 方面 的 问题 。 


2. 数据 加 密 传 输 
数据 传输 安全 
输 过 程 中 的 安全 性 ， 通 常 
网 络 通信 信道 ， 如 使 月 
输 的 数据 是 安全 的 ; @ 通 
在 分 布 式 系统 ! 











的 数据 进行 加 密 。 
数据 进行 加 密 。 




















在 云 环境 中 数据 传输 安全 问题 可 
数据 传输 的 安全 问题 。 
在 使 用 公有 云 时 ， 无 论 
了 恰当 的 加 密 方式 。 数 据 在 通过 网 络 传输 到 云端 处 理 过 程 中 ， 
答 协 议 ， 如 安全 套 接 层 〈SSL)、 安 全 传输 层 协议 〈TLS)、 
敬 采 用 加 密 数据 和 使 用 非 安全 传输 
























































据 进 行 加密 

















问题 是 指 如 何 确 
采用 的 方法 有 

















上 虚拟 专用 网 























过 数据 层 安全 性 实现 ， B 


ford Fehler ft puit 



































商 提出 加 密 请 求 。 
] 的 静态 数据 ， 在 许多 情况 下 是 不 加 密 











性 和 完整 性 。 为 保证 数据 在 传 
























































两 种 :GD 通过 传输 层 安全 性 实现 ， 主 要 是 使 用 加 密 
自用 户 和 数据 中 心 节 点 之 间 提 供 安 全 通道 ， 从 而 确保 传 
不 对 通信 信道 进行 加 密 ， 而 是 对 所 交换 





























3 4s 
RA 


网 (VPN) 等 。 
日 无 法 保证 数据 的 完整 性 。 
比如 SalesForce XH 
o PIERII RA 


Ei 












































第 二 种 方法 效率 更 高 ，4 











H SSL 3.0 和 TLS 1.0 ftii 
听 。SSL 和 TLS 




















使 用 IaaS. Paas 或 SaaS. du EIE 























对 数据 的 传输 是 否 已 
可 以 采用 能 保证 数据 完整 性 的 传 


民 容 易 实现 对 公共 网 络 上 分 发 的 


为 用 户 与 云 平 台数 据 传输 时 的 安全 问题 和 云 平 台 内 部 





BZW 








点 对 点 隧道 协议 (PPTP) 或 虚拟 专 








i 协 议 的 方法 也 可 以 达到 保密 的 目的 ， 








FE 数据 的 传输 安全 ，SSL 和 TLS 在 传输 层 对 数 

















BHF 











] 户 与 云 系统 之 间 的 安全 数据 通 
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信 ， 或 者 是 不 同 云 系 
较 理想 的 解决 方案 。 








t 


3. 数据 加 密 处 理 


间 的 数据 迁移 ， 而 云 系统 内 部 的 安全 数据 传输 方式 











在 云 计算 环境 中 ， 确 保 数据 机 密 性 的 方法 之 
i 临 的 一 个 重要 问题 就 是 加 密 限制 了 数据 的 使 月 





。 然 而 ， 该 方法 国 





























就 是 将 所 有 

















息 系 统 需 


可 喜 的 是 ， 密 
到 在 操作 时 
要 用 户 先 对 加 密 数据 

OD 同 态 加 密 





加 密 数 据 。 








这 样 的 操作 将 会 被 云 服务 提供 
































进行 解密 ， 然 后 再 进行 计算 。 








参考 文献 2] 首次 提出 同 态 加 密 的 概念 。 




















进行 计算 。 同 态 加 密 


部 分 同 态 是 指 密 


系统 的 主要 优点 是 ， 








全 同 态 加 密 站 是 指 允许 密码 系统 使 
全 同 态 加 密 是 完美 的 技术 。 全 同 态 加 密 机 制 可 使 用 户 的 数据 在 








态 ， 减 少 了 数据 泄露 


dex Fi V 





外 要 执行 更 复杂 的 操作 。 对 加 密 后 的 数据 而 言 ， 高 效 执行 上 述 操作 目前 基本 -| 





码 学 家 已 引入 一 些 新 技术 来 解决 与 处 理 加 密 相关 的 问题 




















个 比 











数据 在 传送 到 云端 前 进行 加 
日。 除了 存储 和 检索 数据 ， 








上 是 不 


， 这 使 得 它 可 以 做 








商 作 为 一 种 服务 提供 








给 用 户 使 用 ， 而 不 需 











系统 具有 部 分 同 态 和 全 同 态 两 种 类 型 。 























码 系统 只 使 
它 比 全 同 态 加 密 系统 更 有 效 。 









































的 概率 。 























全 同 态 加 





A 








[SS xe 





人 码 学 上 




















中 还 有 许多 问 


许 





际 使 














需求 。 参 考 文献 [3] 指 





加 上 万 亿 倍 。 


(2) 可 检索 的 加 密 ”尽管 传统 的 加 密 技 术 可 以 确 
有 一 定 的 局 限 性 ， 如 无 法 搜索 存储 过 程 中 的 加 密 数 据 。 云 用 户 搜索 





但 是 具 








题 没 有 解决 ， 需 要 进 








步 研究 与 发 展 。 











加 法 或 乘法 对 明文 进行 计算 ， 如 RSA 算法 。 


采用 此 方法 加 密 的 数据 可 以 直接 








部 分 同 态 加 密 


























大 进步 ， 虽 然 在 理论 上 解决 了 处 理 加 密 数 据 的 难题 
比如 待 解决 的 问题 "EL P 











出 ， 如 果 在 





























数据 有 两 种 基本 解决 方案 。 方 案 一 是 下 载 全 部 数据 ， 





H 


AN 





有 和 较 高 的 通信 复杂 性 ;方案 二 是 在 客户 端 保留 可 搜索 的 索引 ， 


据 可 能 会 变 得 过 于 庞大 。 


a 





tH 
Te 云 服务 提供 
， 而 无 须 了 解 被 搜 























H] 














的 应 用 场景 。 例 如 ， 
时 ， 用 户 需 要 发 送 一 
外 ， 云 服务 提供 商 对 























人 时 ， 可 以 使 用 非 对 称 


4.3.3 ”数据 隔离 


数据 加 密 有 时 会 











则 相对 简单 ， 还 


并 且 











Eg. zB AS VE DC FEAT DEDI 


J 检 索 的 加 密 技 术 主要 有 


虽然 云 应 用 在 设计 时 可 以 采 


一 个 简单 的 明文 搜索 ， 














然后 在 客户 端 将 其 解密 
但 随 着 时 间 








具备 可 检索 的 加 密 技 术 ， 云 用 户 可 以 使 用 可 搜索 的 加 密 进 行 编码 搜索 查询 ， 








索 的 数据 是 什 


> 











HA 











个 包含 某 关 键 字 的 令 牌 ， 


I 密 的 搜索 查询 ， 并 返 


对 称 检索 加 密 和 非 对 称 加 密 检索 
用 户 所 检索 数据 的 创建 者 就 是 其 本 人 时 ， 可 以 使 用 对 称 加 密 检索 。 


服务 提供 者 将 返回 包含 此 关键 字 的 加 密 文 档 。 








数据 一 无 所 知 ， 除 非 他 知道 该 
加 密 检 索 技 术 。 











意外 导致 数据 无 法 使 用 ， 并 
上 多 租户 




















可 以 防 1 






































据 ， 但 是 通过 应 用 程 
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序 的 漏洞 ， 非 法 访问 还 





AR 


且 加 密 算 法 


时 有 发 生 。 比 如 2009 年 


整个 生命 周 


应 用 同 态 加 密 技 术 ， 将 使 得 


保存 储 在 云 中 数据 的 


j 加 法 和 乘法 对 明文 进行 计算 。 在 不 受信 任 的 环境 中 ， 











期 都 处 于 加 密 状 











， 但 是 在 实 




















på 
H 


运算 量 ] 
保密 性 和 完整 性 ， 
自己 存储 在 云端 的 
， 但 该 解决 方案 
的 推移 ， 索 引 数 












































并 将 其 








加 














与 搜索 查询 匹配 的 信 
































一 般 过 于 复杂 。 

* 享 模式 带 来 的 数据 盗 取 和 非 授权 访问 等 
多 种 技术 如 “数据 标记 ”， 防止 某 些 用 户 非 法 访问 他 人 数 
E3 月 Google 发 生 的 大 批 用 








两 类 。 每 一 种 方法 都 有 其 特定 


此 
此 








当 用 户 所 检索 数据 的 创建 者 不 是 其 本 





而 数据 隔离 操作 
风险 。 


























户 文件 外 汇 事 件 。 








为 了 保证 每 个 用 户 的 数据 安全 及 隐私 ， 可 
实现 不 同 用 户 之 间 数 据 和 配置 


























民 据 应 





























行 限 制 ， 这 样 不 可 信 程 序 的 不 良 行为 被 限 人 


数据 的 隔离 。 
虽然 云 服务 提供 




















43.44 数据 访问 


数据 访问 权限 控制 ， 可 以 通过 安全 认 刘 
证 、 不 同安 全 域 之 间 的 认证 或 者 多 种 认 订 
对 数据 进行 操作 前 ， 一 定 要 对 操作 者 身份 进行 严格 核查 。 另 外 在 权限 的 合 到 




















商会 使 月 
果 无 法 实现 单 用 户 专用 数据 平台 ， 


安全 机 制 减 少 此 类 安全 事 作 
这 种 安全 威胁 将 无 法 彻底 根除 。 












































FE 技术 来 解决 。 通 过 统 
F 方 式 相 结合 的 形式 ， 对 月 


j 的 具体 需求 ， 采 用 不 同 的 技术 方案 
言 息 的 安全 隔离 。 比 如 通过 沙 箱 技术 对 不 可 信 程 序 的 权限 进 
是 在 沙 箱 内 ， 对 其 他 程序 





` 会 造成 破坏 ， 实 现 对 




















F 发 生 的 概率 ， 但 从 本 质 上 来 看 ， 如 





单 点 登录 认证 、 协 同 认 





昌 户 身份 进行 严格 审 





LE 分 配方 





查 。 在 
和 也 要 做 
































好 规划 和 管理 。 数 据 访问 的 监视 和 日 志 审 计 也 必 不 可 少 ， 特 别 是 对 敏感 数据 的 访问 ， 要 做 到 








可 济源 。 
4.3.5 ”数据 残留 


数据 存储 的 安全 问题 还 包含 一 个 经 常 被 忽视 的 问题 ， 即 数据 残留 问题 。 


没有 受到 重视 的 问题 。 随 着 越 来 越 多 的 用 户 将 敏感 数据 迁移 到 云 平 











删除 的 数据 在 云 中 被 彻底 销毁 ， 不 会 被 云 服务 提供 商 或 者 其 他 用 广 


越 紧迫 。 








数据 残留 是 指 存储 在 介质 上 的 数据 在 被 以 某 种 方法 进行 删 














一 些 物理 残余 。 即 数据 已 经 被 擦 除 ， 但 可 以 根据 这 些 留 下 的 物理 








重 构 出 已 经 被 擦 除 的 数据 。 



































在 云 环 境 中 ， 不 同 





















































这 是 目前 一 直 








台 上 ， 如 何 保证 用 户 所 
























































恶意 恢复 ， 


除 或 移动 后 


















































， 在 介质 内 留 下 的 
特性 ， 通 过 某 些 特定 的 手段 来 


] 户 可 共享 同一 物理 存储 资源 ， 当 一 个 用 户 所 分 配 的 物理 存储 资 









































源 被 回收 后 ， 如 果 其 上 的 数据 没有 被 彻底 删除 ， 则 后 来 用 户 可 能 通过 残留 数据 ， 获 取 其 
他 用 户 的 敏感 信息 。 即 在 云 计算 环境 中 ， 数 据 残 留 有 可 能 会 无 意 泄露 用 户 敏感 信息 给 未 
授权 的 用 户 。 所 以 ， 当 云 内 数据 所 占 的 存储 空间 需要 释放 或 重新 分 配给 其 他 用 户 之 前 ， 
其 所 在 介质 上 的 数据 需要 进行 完全 的 控 除 或 销毁 ， 确 保 不 会 由 于 残留 数据 造成 敏感 数据 
的 无 意 泄露 。 


常见 的 数据 残留 现象 主要 表现 在 : O 为 了 优化 资源 分 配 、 提 高 数据 可 用 性 等 目的 ， 服 务 
供应 商 可 能 会 在 数据 所 有 者 不 知情 的 情况 下 移动 数据 ， 而 初始 存储 位 置 上 的 数据 未 被 销毁 ， 就 








会 造成 数据 残留 ，@ 云 服 务 提供 商 本 该 删 掉 用 户 要 求 
除 ， 用 户 又 无 法 确认 是 否 已 被 删除 ， 而 造成 数据 残留 ，@@) 为 了 避免 
在 多 处 进行 备份 ， 这 样 在 删除 数据 时 ， 可 能 
HRA: © 物理 介质 的 某 些 特性 ， 在 删除 时 
下 部 分 数据 ， 造 成 数据 残留 。 

针对 残留 数据 被 盗用 问题 ， 美 区 























































































































删除 的 数据 ， 但 是 六 








显示 完全 删除 ， 但 是 物 到 








介质 却 因 


























国防 部 提出 清 零 和 特殊 处 
































考 文 献 [5] 提 出 可 利用 











加 密 和 完全 硬盘 














实行 保护 。 参 考 文献 [6] 提 出 








了 一 个 云端 数据 的 全 生命 周期 保护 以 及 自 




















蛙 等 指导 性 建议 解决 方案 门 。 
加 密 方 法 对 虚拟 机 映像 及 组 成 映像 文件 中 的 加 密 数据 


F 未 按照 用 户 要 求 删 
要 数据 丢失 ， 数 据 需要 
| 于 遗 息 茶 一 处 数据 存储 位 置 而 忘记 删除 ， 导 致 数 
为 茶 些 原因 留 








参 








T 














HORA 











并 根据 框架 和 协议 设计 了 Dissolver 原型 系统 。 该 系统 在 用 户 指定 的 时 刻 会 将 相关 的 可 执行 文 
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件 及 数据 文件 等 进行 销毁 
种 方式 ， 从 而 保证 在 指 
然 Dissolver 系统 实现 了 数据 的 
意 恢 复 的 可 能 | 
加 密 ， 然 后 控制 解密 人 
来 达到 





数据 
据 进 行 
密 密 n EH 
机 制 。 
| 点 ， 


删除 后 

















Z3 























动 jj 
该 机 rn 


被 恶 


IER, 

















。 销 毁 方式 有 用 广 





肖 毁 和 生存 时 间 耗 尽 后 的 数据 自我 销毁 两 








E CR 














EA 











我 销毁 ， 





yt 




















销毁 








定时 限 后 ， 在 云端 任何 


。 参 考 文献 [7] 提 出 一 种 数据 
密 钥 的 时 间 期 限 。 在 超过 预先 确定 上 
] 户 敏感 数据 的 























地 方 都 不 会 存在 明文 形式 的 用 户 数 据 和 密 钥 。 虽 
是 并 没有 使 用 数据 宪 写 等 销毁 技术 ， 仍 然 存在 着 
毁 机 制 ， 该 机 制 将 用 户 敏感 数 
的 时 间 期 限 后 ， 该 机 制 通过 将 解 
的 。 参 考 文献 [8] 提 出 一 种 称 为 Ephemerizer 的 


























但 





















































剖 需 要 一 个 或 者 多 个 可 信 第 三 方 来 为 

















户 保存 数据 解密 











即 它 





可 信 第 三 方 来 控 





需要 由 














能 在 茶 些 | 


数据 销 














4.4 


SALE o 


I 








Ao PHE. 
总 之 ， 关 于 数据 残留 问题 在 目前 还 缺乏 相应 的 彻底 解决 方案 ， 即 刀 





数据 威胁 模型 
利用 威胁 模型 可 以 将 系统 的 威胁 和 弱点 转换 为 普通 类 别 ， 





因 
jail, 

















此 ， 在 设计 或 实施 人 有 
因为 威胁 的 类 型 决定 了 可 以 使 


























4.4.1 ”数据 安全 的 威胁 因素 


B zs 
E 因 素 和 政 ; 

















Xj 
i8 








法 律 











省 数据 安全 的 














i SR. 








KR 


H 
因素 和 人 员 








份 认 证 
因素 九 类 。 





因素 、 访 问 控制 因 








素 ^ 





1. 网 络 通信 因素 




















网 络 通 信 威 胁 是 指 云 计算 环境 下 ， 月 














以 及 由 于 受到 网 络 攻 























制 解 密 


F 何 存储 保护 解决 方案 之 前 ， 
j 的 安全 对 策 。 


因素 很 多 ， 除 去 如 天 灾 等 自然 因 
因素 等 。 参 考 文献 [9] 把 云 计 算数 据 安全 的 威胁 细 分 为 网 络 通 


日 户 数据 在 传输 过 程 中 由 
和 而 导致 服务 器 受到 拒绝 服务 。 网 络 通信 




















密 铀 。 这 种 解决 方案 有 一 个 
密 钥 的 生命 周期 。 然 而 本 应 值得 信赖 的 第 三 方 











EF 物理 层 还 缺乏 必要 的 





以 便 由 存储 保护 技术 来 解决 。 
识别 当前 存储 系统 中 存在 的 所 有 威胁 和 





sp 
Tum 























大 





主要 包括 技术 因素 、 人 员 
言 因素 、 





素 外 ， 









































数据 残留 因素 、 虚 拟 环境 





因素 、 审 计 














于 网 络 安全 所 面临 的 威胁 ， 
的 主要 表现 形式 如 下 。 





























威 用 








































































































(1) 数据 算 改 ”数据 算 改 是 指 在 未 经 授权 的 情况 下 截获 并 修改 、 增 加 或 删除 网 络 上 传输 
的 数据 。 在 此 情况 下 ， 数 据 的 完整 性 和 可 用 性 受到 攻击 。 

(0 数据 盗窃 ”在 云 环境 下 通过 网 络 监听 、 中 间 人 攻击 等 手段 获取 网 络 上 传输 的 用 户 数 
据 。 此 时 ， 用 户 数据 的 机 密 性 受到 威胁 。 

G) 拒绝 服务 攻击 ”攻击 者 利用 云 计算 的 超 强 发 送 能 力 向 特定 服务 器 发 送 成 于 上 万 的 访 
问 请 求 ， 造 成 组 存 溢出 ， 导 至 其 不 能 接收 来 自 正常 用 户 的 请 求 ， 造 成 服务 器 瘫痪 。 


(4) 网 络 嗅 探 ”利用 计算 机 
探 最 初 的 用 途 是 为 了 网 络 管理 员 
等 而 配备 的 工具 。 











的 网 络 接 





可 




















2. 数据 存储 因素 


以 随时 掌握 网 络 的 实际 情况 ， 查 找 网 络 
但 它 通常 会 被 黑客 利用 ， 

















口 截获 其 他 计算 机 的 数据 报 文 的 一 种 手段 。 网 络 咱 


局 洞 和 检测 网 络 性 能 





























给 网 络 安 全 禹 来 了 严峻 的 威胁 。 
















































































数据 存储 因素 是 指数 据 在 存储 过 程 中 由 于 物理 安全 或 未 经 加 密 处 理 所 面临 的 威胁 。 这 一 
类 安全 威胁 因素 除了 自然 灾害 因素 外 ， 主 要 是 由 于 内 部 人 员 造 成 的 威胁 因素 ， 他 们 往往 会 逃避 
监控 或 审计 等 跟踪 控制 。 数 据 存储 主要 有 以 下 几 种 威胁 表现 形式 : 





(1) 数据 存放 介 
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质 被 攻击 者 直接 接触 

















攻击 者 通常 会 躲避 数据 中 心 的 监控 和 访问 控制 ， 











直接 对 数据 存放 的 物理 
情况 下 ， 数 据 的 保密 怕 











介质 进行 接触 ， 对 上 面 的 用 户 数 据 信 息 进 行 算 改 、 盗 穷 或 删除 。 在 此 种 






























































EE、 完整 性 和 可 用 性 都 遭 到 破坏 。 











(2) 数据 未 加 密 。” 融 态 存放 的 用 户 数据 未 经 过 加 密 处 理 ， 一 旦 被 攻击 者 获取 ， 将 会 造成 
用 户 数据 泄露 。 数 据 的 保密 性 受到 威胁 。 

(3) 数据 未 备份 
用 户 数据 无 法 得 到 恢复 。 数 据 的 完整 性 和 可 用 性 受到 威胁 。 


(4) 数据 隔离 ”不同 


由 于 云 服务 提供 商 未 对 用 户 数据 进行 及 时 备份 ， 一 旦 出 现 重大 
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故 ， 
































I 户 的 数据 都 存储 于 一 个 共享 的 物理 存储 介质 上 ， 用 户 在 存储 和 提 




















取 过 程 中 可 能 会 出 现 错误 数据 的 获取 ， 所 以 需要 采取 技术 将 不 同 用 户 的 数据 进行 隔离 存储 。 
3. 身份 认证 因素 





身份 认 i 
认证 服务 器 。 



































F 因 素 是 指 攻击 者 不 直接 攻击 数据 服务 提供 商 的 物理 存储 介质 ， 而 是 攻击 用 户 的 
在 这 个 情况 下 ， 攻 击 者 就 会 以 窃取 到 的 用 户 身 份 进入 数据 存储 区 获取 数据 ， 给 





























数据 带 来 严重 威胁 ， 但 不 会 受到 数据 服务 提供 商 的 任何 阻挡 和 拦截 等 。 具 体 表 现在 以 下 几 个 


方面 : 


























(1) 攻击 第 三 方 认 证 服务 “在 云 环境 下 使 用 第 三 方 认证 服务 时 ， 认 证 服务 器 有 可 能 被 攻 





























击 ， 时 致 非法 用 户 登录 系统 或 拒绝 合法 用 户 登录 系统 。 此 外 ， 攻 击 者 还 有 可 能 获取 合法 用 户 的 




















认证 信息 ， 


(2) 盗 取 合法 








导致 用 户 的 信息 泄露 。 




















] 户 认证 信息 ”攻击 者 利用 非法 手段 获取 用 户 的 认证 信息 ， 从 而 以 合法 用 









































户 身 份 登录 ， 导 致 用 户 认 说 
(3) 身份 抵赖 


操作 行为 。 





LERT, HA 


4. 访问 控制 因素 


访问 控制 因素 是 指 如 


法 地 访问 月 


FE 信息 泄 露 。 


























号 份 抵赖 是 指 用 户 通过 非法 手段 访问 系统 并 进行 有 关 操作 ， 但 不 承认 其 











F 不 可 抵赖 性 遭受 威胁 。 











日 户 数据 ， 对 月 




















E 云 环境 下 攻击 者 攻击 第 三 方 的 授权 服务 器 ， 获 取 数 据 访 问 权 限 ， 非 
日 户 数据 造成 威胁 。 主 要 表现 在 以 下 几 个 方面 : 























(1) 第 三 方 授 权 服 务 器 遭受 攻击 ”通过 攻击 第 三 方 授权 服务 ， 使 其 产生 错误 的 授权 判 


B RIRA 


















































户 访 问 用户 数 据 ， 或 者 对 已 授权 的 用 户 拒 绝 访 问 ， 使 授权 服务 器 瘫痪 。 

















(2) 合法 用 户 非法 操作 、 滥 用 权限 ”授权 用 户 无 意 或 恶意 地 操作 用 户 数 据 ， 滥 用 权限 ， 


增加 、 查 看 、 修 改 或 删除 敏感 数据 。 破 坏 数据 的 保密 性 和 完整 性 。 

(3) 推理 通道 ”非法 
些 无 权 获 取 的 用 户 信息 。 
S. 数据 残留 因素 
数据 残留 是 指数 据 通过 某 种 方式 在 名 义 上 擦 除 或 删除 掉 后 的 残留 表现 。 这 种 残留 可 能 是 
于 数据 在 名 义 上 被 删除 ， 但 却 原封 不 动 的 存在 所 导致 的 ， 也 有 可 能 是 由 于 存储 介质 的 物理 









































































































































户 以 类 推 推理 、 启 发 式 推理 、 语 义 关 联 和 统计 推理 等 手段 获取 一 





















































特性 造成 的 。 如 果 存 储 介 质 被 放置 在 失控 的 环境 下 ， 数 据 残留 可 能 会 在 无 意 中 汇 露 用 户 的 敏 


感 信息 。 


6. 虚拟 环境 因素 
虚拟 化 技术 提升 云 基础 设施 使 用 效率 的 同时 也 使 传统 的 安全 防护 手段 失效 。 目 前 对 云 计 


















































算 虚 拟 环境 多 采 月 








传统 的 覆盖 式 验 证 方法 ， 无 法 彻底 解决 正确 性 问题 ， 给 数据 的 安全 性 带 来 威 














肋 ， 主 要 表现 在 以 下 几 个 方面 : 
(OD 云 计 算数 据 中 心 没 有 边界 安全 ”由 于 用 户 需要 直接 存 取 虚 拟 化 资源 ， 传 统 的 数据 边 


界 已 经 模糊 ， 传 统 的 边界 防火 墙 和 入 侵 检测 等 技术 已 无 法 保证 数据 中 心 的 安全 。 
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(2) 多 租户 环境 管控 不 利 造成 数据 泄露 ”在 云 计算 环境 下 ， 计 算 和 资源 共享 是 通过 虚拟 


化 技术 实现 的 ， 用 户 通过 虚拟 、 租 用 的 模式 者 





取 计 算 资 源 ， 而 一 个 物理 





资源 可 能 运行 多 个 虚 











拟 机 ， 多 租户 共享 这 些 虚 拟 资源 ， 而 虚拟 化 软件 一 旦 存在 安全 漏洞 ， 


M, 








当 手 段 取 得 访问 虚拟 机 权限 ， 共 享 资源 的 月 





































































































昌 户 数据 就 可 和 








E 被 其 他 虚拟 机 月 











> VE. E 
或 者 JS AS 














] 户 通过 不 正 





































































































Hum. xx" 








数据 泄露 。 

7. 审计 因素 

计 是 在 云 环境 下 跟踪 用 户 对 数据 的 操作 行为 ， 便 于 发 现 不 恰当 的 用 户 操作 及 可 能 存在 

的 安全 漏洞 等 。 审 计 方 面 的 安全 威胁 主要 表现 在 以 下 几 方面 

(1) 审计 记录 过 于 简单 ”没有 记录 或 未 完全 记录 用 户 的 操作 全 过 程 ， 因 而 无 法 获取 有 价 
值 的 用 户 操作 信息 。 

(2) 审计 功能 被 关闭 ”审计 功能 被 有 意 关 闭 或 被 攻击 者 恶意 关闭 ， 从 而 无 法 记录 非法 
操作 ， 使 审计 功能 丧失 。 

8. 法 律 制度 因素 

由 于 每 个 国家 的 法 律 制 度 存在 一 定 程度 上 的 差异 ， 对 于 违反 信息 安全 保障 法 律 或 者 制度 








的 个 人 或 者 组 织 的 处 罚 程度 也 存在 差异 ， 对 数据 的 隐私 权 的 规定 也 存在 不 同 的 定义 。 因 
国家 可 能 对 数据 安全 的 管理 存在 差异 。 从 而 数据 安全 





云 存储 数据 相对 分 散 的 情况 下 ， 在 不 同 的 








也 受到 威胁 。 具 体 表现 如 





(1) 信息 安全 法 规 不 




















h. 


健 





3 


























面 的 法 律 和 制度 等 都 存在 一 定 的 源 
之 机 ， 给 数据 的 安全 带 来 威胁 。 如 果 他 们 的 非法 行为 得 





循环 。 


(2) 数据 全 球 化 引起 的 安全 问题 








于 云 计算 技术 产 4 









































不 到 法 律 制裁 ， 这 利 











云 计算 是 一 个 开放 环境 ， 























他 









































国家 的 云 存 储 系统 中 。 有 可 能 
G) 相互 冲突 的 法 律 规 定 各 








| 于 不 同 
国 在 制 














































































































而 ， 在 











E 和 发 展 的 时 间 比 较 短 ， 很 多 信息 安全 方 
洞 。 这 就 给 蓄意 攻击 的 人 有 了 对 数据 进行 窃取 和 盗 




















的 可 乘 





不良 行 为 就 会 不 断 


户 数 据 很 可 能 被 保存 在 其 
国家 的 法 规 不 同 ， 而 导致 数据 安全 存在 威胁 。 
订 相 关 数 据 安全 的 法 律 时 都 会 考虑 到 本 国 的 国情 、 





实际 情况 以 及 在 最 大 限度 地 有 利于 本 国 的 经 济 发 展 。 这 在 一 定 程度 上 进一步 加 剧 了 云 计算 在 
全 球 背 景 下 处 理 个 人 数据 的 挑战 。 

9. 人 员 因 素 

人 员 因 素 是 指 用 户 数 据 因为 云 计 算 提供 商 内 部 工作 人 员 的 职业 道德 、 金 钱 诱惑 以 及 被 利 
用 等 各 种 原因 所 导致 的 威胁 ， 主 要 表现 在 如 下 方面 : 

(1) 管理 人 员 缺 乏 职 业 道 德 ” 由 于 管理 员 缺 乏 职 业 道 德 ， 滥 用 权力 算 改 或 盗窃 用 户 隐 








私 ， 并 将 用 户 隐 私 卖 给 竞争 对 手 ， 这 些 行 为 给 数据 安全 带 来 了 极 大 的 威胁 。 









































(2) 用 户 错误 操 作 、 滥 用 权限 “已 授权 的 合法 用 户 无 意 或 恶意 地 查看 、 修 改 和 删除 数 


据 ， 破 坏 数据 的 完整 性 、 
(3) 管 





























保 
理 员 权力 过 于 集中 
全 。 如 果 为 了 简化 管理 ， 把 系统 管理 员 、 


密 性 和 安全 性 。 














安全 管 


复杂 的 敏感 数据 保障 系统 需 























里 员 和 审计 管理 








有 团 



























































造成 管理 员 的 权利 过 于 集中 ， 当 该 管理 员 有 意 或 
失 ， 这 就 会 给 用 户 数据 的 安全 带 来 极 大 的 威胁 。 

(4) 管理 员 缺 乏 安全 意识 ”即使 云 计算 环 境 下 防护 措施 比较 先进 ， 如 果 
全 意识 ， 错 误 的 操作 或 配置 都 会 给 攻击 者 提供 便利 ， 给 用 户 的 数据 安 4 
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队 来 确 











保 敏感 数据 的 安 





员 等 诸多 权限 集 于 一 人 之 身 ， 
E 意 出 现 失误 时 ， 有 可 能 造成 数据 损坏 和 丢 











token 




















44.2 ”数据 安全 生命 周期 的 威胁 模型 


数据 在 云 中 比 在 传统 计算 机 系统 






































P 存 在 更 多 的 风险 。 图 4-2 显示 的 是 从 数据 的 创建 、 传 


























输 、 使 用 到 消亡 过 程 中 全 生命 周期 的 威胁 模型 。 从 这 个 模型 中 可 以 看 到 数据 整个 生命 周期 过 程 











中 所 有 可 能 受到 的 威胁 站。 





























v 第 三 方 授权 服务 器 遭受 攻击 
Y 合法 用 户 非法 操作 
v 推理 通道 


图 4-2 











v 敏感 数据 被 攻击 者 直接 攻 











vV 数据 未 加 密 


ME 数据 未 备份 
数据 隔离 


l 
数据 创建 


























~ 拒绝 服务 攻击 

v 用 户 数据 被 修改 咨 

Y 云 计算 数据 中 心 没有 
边界 


v 多 租户 环境 管理 不 力 
























































数据 的 生命 周期 


























云 计算 环境 下 ， 数 据 安全 生命 周 


据 共享 、 数 据 归档 及 数据 销毁 六 个 阶段 。 云 计算 数据 4 














1. 数据 创建 








HHA 








的 威胁 模型 





要 是 指数 据 创建 、 数 据 迁 移 、 数 据 存储 、 数 据 使 用 / 数 

















E 命 周期 不 同 阶段 的 安全 挑战 不 尽 相 同 。 








在 这 个 阶段 ， 数 据 是 由 用 户 创建 的 。 数 据 生 成 后 ， 可 能 会 面临 安全 风险 。 例 如 攻击 者 可 
以 修改 用 户 的 数据 和 修改 其 权限 导致 其 权利 丧失 。 





2. 数据 迁移 





























数据 生命 周期 的 第 二 阶段 是 数据 迁移 阶段 。 在 这 一 阶段 ， 数 据 是 从 用 户 传统 基础 架构 迁 























移 到 云 供应 商 的 云 中 。 数 据 迁移 作为 采用 云 存储 方案 中 最 为 基础 和 关键 的 步骤 。 它 将 对 历史 数 




















据 进行 清洗 ， 转 换 ， 并 装载 到 新 系统 ， 是 保 记 























FE 数 据 系 统 平滑 升 级 和 更 新 的 重要 环节 ， 也 是 将 来 


























系统 稳定 运行 的 有 效 保障 。 它 在 整个 云 存储 方案 中 占有 举足轻重 的 作用 ， 因 此 数据 迁移 的 安全 


问题 需要 加 以 考虑 。 

















数据 迁移 有 三 种 迁移 模式 中; O 公有 与 私有 之 间 转 移 ， 内 部 与 外 部 之 间 转 移 ， 以 及 其 他 


























各 种 组 合 ，@) 数据 在 云 供应 商 之 间 的 迁移 ，@) 数据 在 既定 的 云 内 实例 间 迁 移 。 
针对 迁移 过 程 中 的 数据 安全 保障 ， 有 如 下 三 种 方式 : 











(1) 客户 端 和 应 用 程序 加 密 ”数据 在 终端 或 服务 器 端 先 加 密 ， 然 后 再 通过 网 络 传输 ， 或 














者 在 已 经 以 恰当 的 加 密 格式 存储 。 这 包括 本 地 客户 端 加 密 机 人 制 或 者 集成 在 应 用 程序 之 中 的 加 密 


机 制 。 





(2) 网 络 加 密 模 式 ” 标 准 的 网 络 加 密 技 术 包 括 SSL. VPN 和 SSH， 既 可 以 是 硬件 加 密 














也 可 以 是 软件 加 密 。 
(3) dET ORI 





的 加 密 
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通常 都 是 将 代理 








L o 











数据 通过 一 个 代理 设备 或 服务 器 进行 传输 
加 密 机 制 整合 到 原 有 的 应 用 程序 中 。 
迁移 过 程 中 ， 数 据 会 面临 如 下 风险 : 中 攻击 者 可 以 嗅 探 通信 信道 


， 在 网 络 传输 前 完成 加 


H 




















上 的 数据 ; 中 攻击 者 





























可 以 通过 执行 一 个 

















用 盗 取 的 身份 创建 真实 或 人 
此 ， 数 据 迁 移 中 采 


因 
3. 数据 存储 





在 这 个 阶段 必须 保 订 
于 失 、 意 外 数据 履 盖 和 破坏 。 
地 存储 在 云 数 据 中 心 ， 对 它 不 进行 人 有 





数据 静态 : 











间 人 攻击 修改 数据 ，@) 通信 信道 








可 以 用 





Dos 攻击 进行 干扰 : 由 可 以 使 











BAE o 
TI Pd N E fea 




















FE 数 据 











分 





FE 数 据 可 上 月 





日 ， 云 数据 备份 不 


Iz 





数据 的 相互 隔离 以 及 数据 的 灾难 恢复 等 。 








存储 的 数据 可 能 会 遇 到 许多 安全 威胁 中 
用 户 提 供 独 自 的 存储 空间 ， 但 用 户 并 不 清楚 自己 


















































隐私 数据 失去 物理 控制 ，@ 由 于 多 租户 云 模 型 的 特 和 





E 何 操作 。 数 据 存 储 包 括 数 据 的 存储 位 置 、 


: © 云 服务 提供 商 
,的 数据 所 存储 具体 服务 器 的 物理 地 址 ， 对 所 属 











恢复 计划 必须 到 位 和 有 效 ， 以 防止 数据 





























在 大 容量 存储 空间 上 ， 能 够 为 





























， 所 有 被 云 处 理 的 用 户 数据 是 存储 在 一 























起 的 ， 即 使 采用 加 密 方式 ， 云 服务 提供 
隐私 数据 的 备份 要 求 ， 云 服务 提供 















































据 及 时 、 安 全 地 恢复 ， 然 而 备份 介质 存在 老化 风险 ， 


商 也 不 能 够 保 i 
商 通 常 建 有 元 余 备 份 机 制 ， 可 以 在 事故 出 现时 ， 将 





F 数 据 之 间 的 安全 隔离 ，@@) 针对 用 户 对 
J^ m 



































并 且 在 备份 过 程 中 存在 信息 泄露 风险 。 





4. 数据 使 用 /数据 共享 





在 这 一 阶段 


H 


























由 于 数据 通常 





所 有 者 或 
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索引 和 查询 的 问题 。 
S. 数据 归档 





对 暂时 不 使 用 的 数据 ， 可 以 复 











因此 ， 该 数据 可 以 被 恶意 用 户 使 月 


他 用 户 
作 。 数 据 尤 其 是 敏感 数据 不 能 在 没有 任何 控制 的 情况 下 与 


在 数据 安全 和 地 理 位 置 等 方面 增加 安全 挑战 。 另 外 ， 动 态 数据 不 可 加 密 ， 





* 亭 使 用 ， 即 通常 是 要 对 它 执行 操 
也 用 户 的 数据 混合 。 数 据 的 混合 将 
因为 数据 加 密 将 导 















































昌 ， 造 成 数据 泄露 。 








BEITER, 





并 设置 





数据 为 归档 状态 。 处 于 归档 状态 的 数据 


不 允许 修改 和 删除 ， 即 归档 之 后 的 数据 受到 保护 。 然 而 ， 这 种 归档 数据 将 受到 如 备份 介质 可 能 


到 非法 访问 。 
6. 数据 销毁 
此 阶段 的 3 











备份 介质 的 保护 级 别 不 高 等 安全 问题 。 比 如 ， 如 果 数 据 被 归档 到 在 线 存 储 ， 它 可 





FE 要 任务 是 必须 具备 一 种 可 信和 技术 来 保 记 








iil 






































数据 已 被 完全 消除 或 无 法 恢复 。 


数据 销毁 是 指 采用 各 种 技术 手段 来 完全 破坏 存储 介质 中 数据 的 完整 怕 
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能 会 受 














E 全 面 有 效 地 定位 、 擦 除 和 销毁 数据 ， 





E， 避 和 免 非 授权 用 户 









































利用 残留 数据 恢复 原始 数据 信息 ， 以 达到 保护 数据 的 目的 。 

人 们 通常 采用 删除 数据 、 格 式 化 以 及 使 用 文件 粉碎 工具 来 对 数据 进行 销毁 ， 但 是 这 些 方 
法 都 不 能 够 彻底 销毁 数据 。 如 果 存 在 恶意 恢复 ， 就 会 造成 信息 泄露 。 目 前 针对 电子 信息 的 成 
因 ， 业 界 对 于 电子 载体 的 技术 销毁 主要 有 如 下 几 种 方式 中: 

CD 履 写 法 ” 履 写 法 是 指 将 一 些 无 意义 、 无 规律 的 信息 反复 多 次 覆盖 介质 上 原先 存在 的 
数据 ， 以 达到 销毁 数据 的 目的 。 此 方法 销毁 不 彻底 ， 可 能 会 被 专用 工具 恢复 。 此 方法 从 严格 意 
义 上 来 讲 不 适用 于 处 理 有 密级 的 载体 。 





(2) 整体 高 温 销 毁 ”采用 高 温 销 毁 信 息 介 质 的 方法 ， 把 记录 有 信息 的 介质 高 温 熔 化 ， 确 
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保 信息 无 法 复原 ， 从 而 从 根本 上 解决 数据 泄露 的 问题 。 此 方法 可 彻底 销毁 信息 ， 
载体 。 但 此 方法 适宜 在 专用 场所 
(3) 强 磁场 销 


Ex 针对 硬 











体 上 面 的 信息 ， 











Hec en 























由 于 云 存储 是 
密 ， 以 此 来 防止 对 数据 的 攻击 。 当 
则 要 与 文件 密码 是 一 一 对 应 的 。 比 如 参考 文献 [13] 提 出 一 利 
F 与 一 个 单一 的 规则 相关 联 。 





存储 在 密 钥 管理 

















使 用 。 
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器 中 ， 每 个 数据 文人 


























Æ 
rig 2 


ret 








也 要 从 管理 器 中 





pe 








个 与 待 删除 文件 相对 
PP 删除。 没有 钥匙 ， 对 














45 云 存 储 的 数据 安全 


随 着 云 计 算 的 技术 越 来 越 成 熟 ， 
直 是 用 户 和 运营 商 忆 








其 中 云 安全 技术 一 


























键 因素 。 





45. cz 





云 存储 是 从 云 计算 的 概念 里 延伸 出 来 的 新 技术 之 一 。 
设备 ， 并 为 使 用 者 提供 与 支持 各 利 























歌 和 微软 等 者 


了 已 在 这 方面 











盘 等 磁 介 质 设备 中 
痢 毁 后 不 能 恢复 。 
1 第 三 方 供应 商 提供 的 服务 ， 
当 用 户 访问 数据 时 ， 必 须 遵 守 有 关 规 则 和 访问 策略 。 制 订 的 


应 的 密 钥 。 当 撤 
称 数据 密 钥 就 不 能 派生 。 
使 用 的 对 称 密 钥 ， 该 数据 将 永远 不 能 被 恢复 ， 从 而 保证 数据 在 销毁 过 程 ， 


和 在线 存 取 服 务 。 国 

















适用 于 便 盘 等 

















的 数据 进行 消 磁 ， 能 够 快速 彻底 销毁 这 些 载 


因此 在 数据 存储 过 程 中 一 定 要 对 数据 进行 加 





规 
安全 删除 文件 的 方法 ， 把 关键 密 钥 














省 某 用 户 








当 要 对 一 个 文件 进行 销毁 时 ， 


























内 外 许多 著名 的 IT 公司 ， 如 亚马逊 、 谷 


的 规则 文件 时 ， 相 应 的 关键 密 钥 
因此 ， 底 层 数 据 文件 失去 了 最 初 
的 安全 。 
































以 及 数据 量 的 迅猛 增加 ， 云 存储 将 会 被 越 广泛 地 使 用 ， 
E 考 虑 的 问题 ， 而 且 也 是 影响 到 未 来 云 安 全 发 展 的 一 个 关 





它 连接 了 各 种 不 同类 型 的 网 络 存储 











投入 巨 资 ， 成 为 云 存 储 服务 提供 商 。 云 存储 已 经 成 为 近年 来 增长 最 快 








的 云 服务 之 一 。 
1. 云 存 储 概述 


云 计 算 的 H 


力 的 地 方 随时 访问 所 需 数据 ，! 



























































云 存储 是 指 通过 分 布 式 文人 
性 能 各 异 的 存储 设备 通过 应 月 

















网 络 中 种 类 繁多 、 配 置 和 
对 外 提供 数据 存储 服务 和 基于 存储 数据 的 各 类 业务 应 月 
络 把 数据 存放 到 远程 第 三 方 

用 户 使 用 云 存储 并 不 是 使 




















此 延伸 和 发 








的 服务 器 上 而 





8 现 给 网 络 数据 存储 带 来 了 新 的 革命 。 
储 ， 用 户 无 须 了 解 存储 设备 的 型 号 、 使 用 的 接口 











与 传统 数据 存储 相 比 ， 基 于 云 的 数据 存 
和 传输 协议 ， 就 可 以 从 任何 具有 互联 网 访问 能 





























展 出 云 存 储 这 一 新 概念 。 
F 系 统 、 基 于 TCP/IP 的 网 络 技术 、 虚 拟 化 技术 和 集群 环境 ， 将 
日 软件 集合 起 来 协同 工作 ， 作 为 一 个 整体 


















































昌 。 从 用 户 角度 来 i 
FE 存 到 本 地 的 硬盘 。 








， 云 存储 就 是 通过 网 











用 某 个 特定 的 存储 设备 ， 而 是 使 用 整个 云端 存储 系统 带 来 的 数 




















据 存储 服务 和 数据 访问 功能 。 因 此 ， 从 使 用 角度 来 讲 ， 云 存储 不 是 指 存储 本 身 ， 而 是 一 种 新 的 


服务 模式 。 


作为 一 种 新 型 的 云 服务 模式 ， 云 存储 必然 要 求 存 
的 实践 来 看 ， 它 们 在 现 有 的 云 环境 ， 



































构 ， 而 是 使 





用 了 可 扩展 的 分 布 式 文人 
云 存储 的 兴起 正在 颠覆 现 有 的 网 络 存 储 方式 ， 通 过 使 



































的 服务 ， 








Iw 























渚 架构 保持 极 低 的 成 本 。 从 Google 公司 
并 没有 采用 传统 的 以 
系统 GFS。 这 是 一 种 高 效 的 集群 存储 技术 。 





络 为 中 心 的 存储 结构 如 SAN 78 


网 




















民 据 需要 定制 押 需 的 存储 服务 ， 无 须 前 期 投资 且 无 日 


大 大 降低 用 户 软 硬件 的 开销 和 日 常 维护 成 本 。 














] 云 存储 ， 存 储 变 为 了 一 种 按 需 使 
后 的 维护 费用 ， 从 而 
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与 传统 的 网 络 存 储 方式 相 比 ， 云 存储 的 最 大 特点 是 海量 、 高 性 能 及 低 成 本 。 另 外 ， 云 存 
储 还 可 以 提供 更 加 安全 、 便 捷 的 数据 备份 服务 和 数据 访问 方式 。 所 以 建立 扩展 性 强 、 性 价 比 
高 、 吞 吐 率 高 和 容错 性 高 的 云端 存储 系统 势 在 必得 。 

2. 云 存储 的 分 类 

按照 云 存 储 的 使 用 性 质 可 以 将 云 存 储 分 为 公有 存储 云 、 私 有 存储 云 、 内 部 云 存 储 和 混合 
存储 云 四 类 。 

(OD 公有 存储 云 ” 公 有 存储 云 以 较 低 的 成 本 提供 大 容量 、 高 性 能 及 可 弹性 扩展 的 云 存 储 
服务 。 服 务 提 供 商 可 以 保证 每 个 客户 对 存储 的 使 用 都 是 独立 的 、 私 有 的 。 

DropBox 提供 的 个 人 云 存储 服务 是 公有 存储 云 应 用 中 的 典型 代表 。 

(2) 私有 存储 云 ” 私 有 存储 云 是 针对 公有 存储 云 来 说 的 。 其 应 用 局 限 在 一 个 区 域 、 一 个 
企业 ， 甚 至 一 个 家 庭 内 部 。 

公有 存储 云 可 以 把 其 中 一 部 分 划 出 作为 私有 存储 云 。 通 常 一 个 公司 拥有 或 控制 其 基础 染 
构 以 及 应 用 服务 的 部 署 。 私 有 存储 云 通常 部 署 在 企业 的 数据 中 心 ， 可 以 由 自己 进行 管理 ， 也 可 
以 交 由 服务 提供 商 管理 。 

(3) 内 部 存储 云 ” 与 私有 存储 云 比 较 类 似 ， 唯 一 不 同 的 是 它 位 于 企业 防火 墙 内 部 。 

(4) 混合 存储 云 ” 混 合 存储 云 把 公有 存储 云 和 内 部 /私有 存储 云 结合 在 一 起 ， 主 要 用 于 按 
客户 要 求 的 访问 ， 特 别 是 当 客户 需要 动态 配置 存储 容量 的 时 候 ， 从 公有 存储 云 中 划 出 一 部 分 容 
量 配置 给 私有 存储 云 或 内 部 云 存储 使 用 ， 可 以 帮助 公司 应 对 迅速 增长 的 负载 波动 或 高 峰 时 段 的 

3. 云 存储 的 结构 模型 

云 存储 不 只 是 一 个 便 件 设备 ， 而 是 一 个 由 服务 器 、 存 储 设备 、 网 络 设备 、 应 用 软件 及 客 
户 端 程序 等 多 个 部 分 组 成 的 复杂 系统 。 各 部 分 以 存储 设备 为 基础 通过 网 络 和 虚拟 化 等 技术 对 外 
提供 数据 存储 和 数据 访问 管理 服务 。 

云 存储 按照 其 体系 结构 可 分 为 四 层 ， 从 上 到 下 依次 为 访问 层 、 应 用 接口 层 、 基 础 管理 层 
和 存储 层 t“ 了 ， 如 图 4-3 所 示 。 
































































































































































































































































































































































































































访问 层 客户 端 应 用 程序 
户 认证 和 权限 管理 等 


应 用 接口 层 公用 API 和 应 用 软件 等 
























































文件 系统 、 集 群 系统 、 数 据 


分 布 式 
加 密 、 数 据 备 份 和 数据 压缩 等 








存储 设备 管理 (存储 虚拟 化 等 ) 


g 
Te 存储 设备 (NAS 和 SAN 等 ) 





图 4-3” 云 存储 的 结构 模型 
(D 存储 层 ”存储 层 是 云 存储 中 最 基础 的 部 分 ， 是 云 存储 得 以 实现 的 物理 基础 ， 主 要 负 
责 存 储 用 户 的 文件 信息 。 
存储 层 所 包含 的 存储 设备 通常 数量 巨大 且 分 布 在 不 同 的 地 理 区 域 ， 彼 此 间 通 过 互联 网 连 
接 成 一 个 整体 。 在 硬件 存储 设备 之 上 是 一 个 存储 设备 管理 系统 ， 用 于 实现 对 硬件 存储 设备 的 
110 





































































































逻辑 虚拟 化 管理 、 状 态 监 控 、 故 障 检测 与 维护 和 多 链 路 见 余 管理 等 功能 。 存 储 设备 模式 多 























存储 设备 。 





样 ， 包 括 光 纤 通 道 (FC) 存储 设备 、NAS 和 iSCSI 等 IP 存储 设备 、SCSI 或 SAS 等 DAS 






































(2) 基础 管理 层 ” 基 而 
实现 的 部 分 。 基 础 管理 层 通过 集 和 












































管理 层 是 云端 存储 系统 中 最 为 核心 的 功能 ， 也 是 云 存储 中 最 难以 
fF、 分 布 式 文件 系统 和 分 布 式 计算 等 技术 ， 实 现 云 存储 中 多 个 























存储 设备 之 间 的 协同 工作 ， 使 多 个 存储 设备 可 以 对 外 提供 同一 种 服务 ， 并 提供 更 好 的 数据 访问 


性 能 。 

















当 用 户 使 用 云 存 储 服务 时 ， 将 私有 数据 转移 到 云端 进行 存储 ， 首 先 关 心 的 问题 就 是 数据 




















的 安全 性 。 在 保证 数据 安全 性 方面 ， 云 存储 除了 使 用 可 以 保证 数据 不 会 被 非法 用 户 所 访问 的 数 












































据 加 密 技术 外 ， 云 端 存储 系统 还 为 同一 份 数 据 存储 多 个 副本 ， 同 时 使 用 合理 的 副本 布局 策略 将 
其 尽 可 能 地 分 散 存储 。 这 样 可 以 保证 当 某 一 节点 突 发 宕 机 而 导致 该 节点 上 的 数据 不 可 用 时 ， 系 
统 可 以 使 用 数据 的 其 他 副本 来 完成 请 求 ， 或 者 在 某 一 数据 发 生 突 发 性 损坏 时 可 以 使 用 其 他 副本 







































































数据 进行 修复 ， 从 而 提高 数据 的 安全 性 。 
数据 压缩 技术 可 以 对 数据 进行 有 效 压 缩 ， 既 能 保证 不 丢失 信息 又 能 缩减 存储 空间 ， 提 





数据 传输 和 存储 效率 。 









































Du 


























(3) 应 用 接口 层 应 








接口 层 是 云 存 储 结构 中 最 灵活 的 部 分 。 不 同 的 云 存 储 服务 提供 商 














根据 业务 的 类 型 ， 为 使 用 者 提供 不 同 的 应 用 服务 接口 。 
(4) 访问 层 ”访问 层 是 云 存 储 服务 运营 商 提供 给 用 户 使 用 的 客户 端 应 用 程 
客户 端 程序 ， 任 何 授权 的 用 户 都 可 以 登录 云端 存储 系统 ， 享 受 云 存储 服务 。 随 云 存 储 服 





















































— 

















字 ， 通 过 此 类 




















商 提供 的 应 用 服务 和 接 入 方式 不 同 ， 其 访问 方式 也 不 同 。 











4. 典型 云端 存储 系统 


过 去 几 年 ， 国 内 外 公司 纷纷 抢 


























主流 云 存 储 服务 提供 商 包括 






































占 云 存储 服务 市 场 ， 云 存储 服务 提供 商 如 同 雨后春笋 层 出 
不 穷 。 国 外 主流 云 存储 服务 提供 商 包 括 DropBox, Amazon, Google, IBM 和 iCloud 等 ， 国 内 
网 易 、 上 腾讯、 金山、 百度 、 新 浪 和 七 牛 等 。 这 些 云 存储 服务 各 有 优 
































缺点 ， 但 都 提供 了 基本 额度 的 免费 空间 ， 当 使 用 者 有 更 大 空间 需求 时 ， 可 再 通过 付费 的 方式 增 











加 可 用 的 空间 。 


























(1) 亚马逊 云 存 储 Y 








司 一 些 亲 置 的 硬件 资源 得 到 更 充分 地 不 





























FF 马 进 是 最 











E 





提供 云 存 储 服务 和 云 存储 应 用 的 公司 之 一 。 为 了 使 公 


























上 用 ， 亚 马 逊 公司 于 2006 年 开始 对 外 提供 简单 存储 服务 























《S3 )。 由 于 服务 稳定 、 存 储 费用 低廉 ，S3 获得 广大 用 户 的 青睐 。 同 时 S3 提供 的 Web Services 
为 开发 者 提供 了 开发 接口 ， 并 允许 第 三 方 工具 在 S3 上 开发 ， 而 用 户 只 需 根据 收费 标准 文 付 一 
定 的 费用 即 可 享用 云 存储 服务 。 

2008 年 8 月 ， 亚 马 逊 为 了 增强 它 在 云 存储 战略 上 的 竞争 力 ， 其 互联 网 服务 部 门将 “持续 
存储 ”功能 添加 到 弹性 计算 云 (EC2) 中， 并 推出 了 弹性 块 存储 EBS 产品 ， 声 称 这 个 产品 可 
以 通过 互联 网 服务 形式 同时 提供 存储 和 计算 功能 。 

































































目前 ，S3 支持 用 户 上 传 不 大 于 5TB 的 单个 文件 。 

































































《2) 谷歌 云 存 储 Google 公司 在 2011 年 推出 云 计 算 存 储 服务 Google Cloud Storage. MI 
能 设计 上 来 看 ，Google Cloud Storage 与 亚马逊 S3 类 似 。 为 了 方便 S3 用 户 转 用 Google Cloud 
Storage 服务 ， 在 数据 访问 方面 ，Google Cloud Storage 为 用 户 提 供 了 Web 访问 接口 ， 用 户 可 以 






























































直接 使 用 浏览 器 进行 认证 和 登录 ， 然 后 对 自己 上 传 的 文件 进行 查看 、 管 理 和 共享 等 操作 。 























Google Cloud Storage 在 容量 方面 扩展 性 强 ， 可 对 外 提供 总 容量 高 达 16TB 的 云 空间 存储 
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服务 。 


G) 微软 云 存 储 SkyDrive 是 2007 年 8 H 
分 。 该 服务 允许 使 









































微软 所 推出 的 Windows Live 服务 的 一 部 


























者 将 他 们 的 文档 上 传 到 网 络 服务 器 。 另 外 ，SkyDriver 通过 Windows Live 








ID 来 限制 不 同 的 使 用 者 能 够 存储 的 文档 权限 ， 使 用 者 可 以 决定 是 否 将 他 们 的 文档 数据 与 他 人 


DE, Sonic 





账号 也 能 读 取 。 





4.5.2 云 存储 安全 





云 存储 服务 可 让 上 月 























症 部 分 好 友 可 以 存 取 或 只 有 所 有 者 本 人 可 以 存 取 。 对 所 有 人 公开 的 文档 不 需要 









































目前 SkyDrive 提供 25GB 的 容量 给 用 户 使 用 ， 但 限制 上 传单 个 文件 大 小 不 超过 100MB。 




















昌 户 将 自己 的 数据 存储 在 远程 的 服务 器 里 ， 使 数据 享有 数据 备份 、 数 据 














保密 和 动态 存储 空间 等 好 处 。 男 外 ， 数 据 拥有 者 也 可 以 将 自己 存储 在 云端 空间 的 数据 分 享 给 特 
定 人 和 群 。 



































E 方 便 的 云 存 储 服务 里 
调查 5 显示， 高达 70% 的 用 户 出 于 信息 安全 原因 ， 仍 不 愿 将 其 重要 的 数据 交 由 云端 来 处 理 。 

















zn 





第 保 数据 的 安全 性 是 大 部 分 使 用 者 所 担忧 的 。 根 据 





eu 
B6 t 






































此 外 ， 像 Google. Amazon 和 其 他 著名 的 云 存储 服务 提供 商都 遇 到 过 一 些 安全 问题 ， 如 数据 丢 


失 。 总 之 ， 数 据 缺 乏 安 全 的 保障 ， 已 经 成 为 云 存 储 普遍 存在 的 障碍 。 


ERM TREE BG EE B 
可 能 医 




















1. 云 存储 安全 性 分 析 


























DES 


目前 云端 存储 已 广 为 


普及 ， 几 乎 是 人 人 都 拥有 一 个 以 上 的 云端 存储 空间 ， 云 端 存储 空间 









































也 在 不 同 的 装置 上 存 取 和 分 享 文档 。 如 今 遇 到 一 个 问题 ， 云 存储 服务 提供 商 
"目的 而 去 查看 我 们 的 数据 ， 而 我 们 无 法 保证 云端 存储 服务 提供 商 不 会 擅自 读 取 我 
































们 的 数据 ， 所 以 许多 人 不 敢 将 重要 数据 上 传 至 云端 存储 空间 。 
基于 此 ， 许 多 公司 都 想 要 建立 自己 私有 的 云端 存储 系统 。 但 若 要 自行 建立 云端 存储 系 


统 ， 除 了 需要 软 作 
务 器 及 作为 存储 空间 的 硬盘 ， 而 其 中 需要 的 硬盘 数量 更 是 会 随 着 使 用 需求 以 及 时 间 而 增加 ， 其 


至 还 需 考虑 便 件 故障 时 的 维修 成 本 ， 更 严重 是 数据 有 可 能 会 遗失 ， 若 要 避免 这 些 情况 也 要 耗费 


不 少 成 本 。 
换言之 ， 就 是 利用 第 三 方 的 云端 存储 空间 。 这 样 就 不 需要 准备 大 量 便 件 设备 ， 直 接 将 现 


二 























性 问题 ， 


阻挡 了 许多 想 要 使 








F 上 的 支持 外 ， 还 需要 大 量 的 硬件 设备 所 需要 的 硬件 成 本 ， 包 括 作为 系统 的 月 
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的 第 三 方 云 端 存储 作为 最 终 存 储 空 间 。 然 而 ， 这 也 有 它 的 缺陷 。 首 先 就 是 企业 最 关心 的 安全 
毕竟 将 自己 的 重要 数据 存放 在 第 三 方 服务 器 总 是 会 让 人 担心 是 否 有 洪 露 问题 ， 也 因此 



























































第 三 方 云 端 存储 空间 的 用 户 。 其 次 是 速度 问题 ， 因 为 数据 存储 于 远程 的 第 














三 方 服务 器 内 ， 若 想 要 存 取 就 必须 通过 广域网 ， 因 此 网 络 速度 会 比 在 局 域 网 内 的 存 取 要 慢 些 。 
从 本 质 上 来 讲 ， 云 存储 安全 问题 应 该 包括 两 个 方面 的 含义 [1 QD Safe， 即 数据 不 丢失 ， 
这 是 目前 云 存储 解决 的 问题 。 从 专业 角度 来 讲 ， 是 指数 据 的 可 用 性 〈Availability)， 即 数据 总 





是 可 月 




















周 





就 目前 T 
户 来 讲 ， 更 关注 数据 的 Security， 而 不 是 Availability。 即 云 存 储 安全 的 根本 目标 就 是 保证 存 


诸 数 据 的 机 密 性 、 完 整 性 和 可 用 性 。 这 涉及 数据 创建 、 传 输 、 迁 移 、 存 储 、 使 用 和 销毁 等 生命 






























































目的 ， 基 本 不 会 丢失 。@) Security， 即 保证 数据 的 隐私 和 不 被 泄露 。 




















期 ， 


2. 云 存储 安全 威胁 


Ia 

















言 ， 多 数 云 存储 解决 的 都 是 Availability， 而 不 是 Security。 但 对 于 云 存储 服务 的 

















F 何 一 个 阶段 。 



































云 存储 自身 的 特点 ， 决 定 了 它 在 现 有 的 技术 方面 存在 一 些 安全 风险 。 云 端 存储 系统 的 安 
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全 威胁 主要 表现 如 下 中 





(1) 传统 的 安全 域 划 分 无 效 ”传统 的 安全 域 划分 无 效 是 指 由 于 云 存储 中 服务 必须 是 可 伸 
不 是 透明 的 ， 云 存储 提 化 
给 云 存 储 的 安全 保护 措 
(2) 传统 网 络 的 数据 传输 威胁 ”这 主要 是 指 由 于 云 存 储 通过 互 














缩 的 ， 对 外 部 来 讲 并 
全 边界 及 保护 设备 ， 




















施 增加 


可 伸缩 的 数据 服务 ， 因 


了 难度 。 























网 络 上 的 安全 威胁 也 存在 





于 云端 存储 系统 上 。 比 如 








据 破 坏 、 信 
通信 、 访 问 认 证 








EA 
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面 。 静 态 存储 安全 是 指 存 














息 被 窃取 和 自 8 
与 保密 性 等 
(3) 数据 存储 的 安全 性 





问题 也 面临 着 各 种 威胁 。 





财 在 物理 存储 介 


























此 云 存储 无 法 ; 








， 网 络 中 的 








等 ， 都 会 对 云 存储 中 数据 的 安全 性 造成 一 定 影 


威胁 ”数据 存储 的 安全 性 包括 前 








质 上 的 数据 的 安全 ， 











RN UM 




















态 存储 安全 和 动态 存储 安 

















青 晰 定义 安 


此 传统 
Br. Zi 


UA 


全 两 方 








该 物理 介 





























] 户 数据 就 会 直接 暴露 在 
全 。 








动态 存储 安全 是 指数 据 在 传输 








攻击 者 面前 ， 所 以 一 定 要 


j 过 程 中 可 能 遭 到 

















机 密 性 ， 使 数据 不 能 按 预 
时 的 完整 性 和 机 密 性 ， 研 





(4) 数据 丢失 威胁 ”数据 丢失 威胁 是 指数 据 存储 的 物理 介 
因 遭 到 破坏 ， 若 未 备份 那么 数据 就 会 于 失 ， 这 将 给 用 户 的 安全 性 带 来 致命 威胁 。 




















他 人 为 原 











期 传输 到 目的 地 点 ， 
究 者 提出 了 动态 存储 安全 














云 存储 的 基本 服务 就 是 需要 








保证 





数据 的 容错 性 、 电 


免 数 据 服 务 中 断 及 数据 丢失 等 问题 。 


C5) 服务 滥用 和 服务 效 色 




















黑客 攻击 、 





给 数据 的 安全 带 来 威胁 。 因 


问题 。 


可 恢复 性 











和 完整 性 ， 





质 一 旦 被 攻击 者 攻击 ， 
确保 云端 存储 系统 上 最 终 存 储 数据 的 存放 安 


劫持 数据 、 破 坏 数据 的 完整 性 和 


此 为 确 











质 可 能 























在 灾难 














已 
已 








Wc d eR Gd 

















外 资源 或 破坏 合法 用 户 利 
坏 了 云 存储 服务 提供 商 的 











益 ， 主 要 表现 在 数据 去 习 








利益 。 


3.， 云 存储 安全 性 保证 


云 存储 的 安全 问题 归 模 




















一 部 分 又 包含 机 密 性 、 完 整 


份 认证 、 访 问 控制 、 安 全 
(1) 数据 加 密 
的 数据 存放 在 何 处 ， 这 
可 以 通过 加 密 的 方式 来 实 
zB RIS REO 
以 及 传输 过 程 ， 
数据 共享 技术 来 适应 


















































2 
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可 
据 
加 
信 














钥 长 期 存储 和 共享 机 制 |， 


高 效 性 及 加 密 策略 的 灵活 





(2) 密 钥 策略 ”数据 加 密 存 储 是 解决 机 密 性 问题 的 主流 
需要 管理 的 密 钥 数量 级 也 不 一 样 。 现 














加 密 环 节 中 必须 考虑 的 重 








云 存储 


trig Dre tt 
动态 数据 进行 加 密 。 云 端 存 储 系统 在 保 订 
IP RMA 
于 基础 之 上 。 必 须 建立 适用 于 网 络 存储 系统 的 加 密 存储 技术 ， Sedo 


+ 





绪 底 主要 就 是 云 存 储 数据 的 存储 安全 怕 
性 和 可 用 性 。 针 对 数据 这 三 方面 的 安 


二 者 通过 涉 用 云 服务 从 而 获 和 
E 攻 击 和 欺诈 资源 消费 攻击 。 服 务 效 





HER HH 





E 和 传输 安全 
全 性 问题 


























日 志和 审计 等 手段 可 以 保 i 























uE 


数据 的 安全 | 
通常 是 通过 服务 的 方式 由 第 三 方 提供 


pEL9201. 


给 用 户 使 用 ， 









































时 对 
现 。 


数据 是 否 被 别人 使 























的 云 存 储 服务 ! 





























如 今 的 网 络 环境 。 保 护 





用 就 多 了 一 重 疑 


必 不 可 少 的 一 项 基本 技术 就 是 对 前 
EF 敏感 数据 机 密 性 的 同时 




















用 户 不 知 
问 。 为 了 消除 用 户 方 的 顾虑 ， 





保 在 数据 传输 


! 于 自然 灾害 或 者 其 





发 生 时 如 何 避 
合约 的 额 
能 攻击 破 


性 两 部 分 
， 通 过 数据 加 密 、 
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Me 


1E 





H 














态 存储 的 数 
， 必 须 具 有 






































以 确保 用 户 数据 的 机 密 性 
性 。 











要 方面 。 由 于 密 钥 的 粒度 








有 的 安全 云端 存储 系统 大 
全 高 效 的 密 钥 管理 分 发 机 





(3) 密 文 搜索 ”安全 而 灵活 的 数据 

















都 采用 粒度 偏 小 或 适中 的 














和 隐私 性 


不 同 ， 


加 密 方式 ， 














制 来 保证 数据 在 存储 与 





N 























储 用 户 选择 云 存储 的 原 














因 除 了 其 提供 安全 的 存储 














, 











"fj 


高 密 钥 存储 的 安全 | 





性 、 








中 要 求 存储 安全 建立 在 对 存储 系统 的 
和 到 端 加 密 存储 技术 及 密 


分 发 的 














方法 ， 随 之 带 来 的 密 钥 管 

















享 过 程 中 的 机 密 性 。 
t 享 是 云 存 储 不 同 于 其 他 存储 形式 的 一 大 特性 。 云 存 
功能 外 ， 还 应 该 能 够 进行 数据 的 传输 与 共享 ， 


因此 ， 云 端 存 储 系 统 需 要 提供 








里 成 为 
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女 





773 























这 也 是 云 存储 的 竞争 优势 。 密 文 搜索 是 实现 信息 共享 的 重要 手段 ， 也 是 加 密 存 储 中 必须 要 解决 














的 问题 之 一 。 

















(4) 擦 除 码 技术 A 


全 性 ， 或 者 将 文档 切 和 














文档 分 享 给 多 个 接收 者 时 ， 使 
间 成 本 方面 的 表现 明显 
被 外 汇 的 可 能 性 ， 但 万 一 其 中 














上 的 不 便 。 参 考 文献 [21] 给 出 一 个 在 云端 存储 环境 下 提升 存放 文档 安全 性 的 架构 。 它 利用 擦 除 
码 将 文档 分 割 成 多 块 并 保障 其 可 靠 度 的 特性 ， 使 























MEZ 


端 空间 ， 分 散 单一 空 | 


| 成 数 块 存储 在 不 同 云 











j 传 统 加 密 方法 可 将 加 密 后 的 文档 存放 于 云端 ， 加 强 单一 空间 的 安 





























间 的 风险 。 然 而 当 使 用 者 欲 将 























传统 加 密 需要 产生 多 组 密 钥 3 



































某 个 空间 无 法 运行 ， 使 月 














分 别 产 生 对 应 的 加 密 文 档 ， 在 空 

















切割 文档 分 散 存储 虽 可 减低 单一 云端 空间 遭 破 解 时 ， 整 份 文档 














者 将 无 法 取 回 完 整 文档 ， 反 而 造成 使 用 















































] 者 将 文档 存放 在 云端 前 可 先 利用 擦 除 码 ， 将 











一 小 部 分 纲 码 后 的 文档 存放 于 自己 的 计算 机 或 随身 存储 装置 ， 其 余部 分 则 存储 在 云端 。 如 此 一 


























来 存储 于 自己 计算 机 或 随身 存储 装置 







































































己 存 放 于 云端 的 文档 遭 人 军 看 ， 
档 分 享 给 其 他 人 ， 另 外 存放 于 云 ; 
免 单一 云端 平台 的 数据 遭 到 窃取 或 被 不 当 利用 的 情形 。 





















































的 文档 便 成 了 能 够 解密 这 份 文档 的 密 钥 ， 使 用 者 不 必 担 心 
进行 擦 除 编码 时 也 能 借 由 产生 多 个 编码 文档 让 用 户 能 够 将 文 
的 文档 也 能 让 使 用 者 自行 分 配 并 存放 于 不 同 的 云端 平台 ， 避 














(5) 访问 控制 ”访问 控制 仍然 是 云 计算 系统 中 的 基本 安全 机 制 之 一 ， 通 过 访问 权限 管理 


来 实现 系统 中 数据 和 资源 的 保护 ， 防 止 用 户 进行 非 授权 的 访问 。 
建立 在 用 户 身份 认证 的 基础 之 上 ， 
设计 过 程 中 ， 应 遵循 最 小 权限 原则 ， 也 就 是 说 ， 应 该 做 到 每 个 
他 们 所 必需 的 信息 或 者 资源 。 目 前 ， 比 较 党 

以 及 基于 角色 的 访问 控制 等 。 


云端 存储 系统 的 访问 控 和 

















c— 





























访问 控制 矩阵 模型 的 优点 是 可 以 快速 准确 地 确定 访问 权限 ， 





体 数 量 的 增加 ， 访 问 矩 阵 将 变 得 越 来 越 大 。 
小 ， 但 是 它 不 能 有 效 列举 3 
(6) 安全 日 志和 审计 安全 日 志和 种 
因为 它 提供 了 除 用 户 和 云 存储 服务 提供 商 之 外 的 第 三 方 安全 监督 机 制 ， 审 计 不 仅 可 以 监督 存储 
上 对 用 户 数据 安全 性 做 出 的 承诺 和 服务 是 否 实现 ， 还 会 审计 用 户 的 数据 是 否 合法 。 
安全 日 志 提供 了 系统 的 安全 状态 ， 从 日 志 可 






































与 访问 控制 矩阵 相 上 
限 。 

















计 是 云 存 储 安全 技术 











用 的 访问 控制 模型 是 访问 控告 





在 进行 系统 访问 控制 规则 的 


用 户 拥 有 的 权限 只 能 访问 和 修改 





| 答 阵 、 访 问 控制 列表 























但 缺点 是 随 着 访问 主体 和 客 
ECE， 访问 控制 列表 占用 空间 更 





























ph 必 不 可 少 的 一 项 技术 要 求 ， 
























































防范 ， 做 应 对 措施 。 


全 性 o 











以 分 析出 系统 存在 的 一 些 威胁 ， 就 可 以 尽早 























和 外 审 相 结 合 的 模式 ， 这 样 更 有 利于 保护 用 户 数据 的 安 








(7) 多 副本 策略 ”在 分 布 式 云 存 储 中 ， 因 个 别 节 点 故障 可 能 造成 用 户 数据 的 丢失 ， 因 此 

















必须 采取 技术 手段 避免 单 点 失败 ， 保 i 




















E 用 户 存储 有 
































最 常用 方法 是 提供 见 余 与 容错 能 

















之 上 有 多 个 备份 ， 备 份 的 数量 可 以 由 























的 物理 位 置 
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提供 3 个 副本 的 容错 技术 ， 以 达到 效率 和 可 靠 性 的 平衡 。 























(8) 数据 的 差异 性 保存 云 存储 出 来 之 前 ， 


中 ， 为 了 数据 的 安全 怕 



































关键 的 数据 由 用 户 自己 





























个 折 中 ， 使 安全 性 和 实用 ' 
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E 云 端 数据 的 可 恢复 性 。 保 证 数据 可 恢复 性 的 
。 副 本 技术 是 一 种 最 常用 的 手段 ， 即 每 个 数据 块 在 整个 集 
j 户 自己 决定 。 这 些 备份 根据 系统 的 分 布 情况 分 布 在 不 同 
从 而 防止 一 个 节点 失效 而 导致 多 个 备份 无 法 访问 的 情况 。 例 如 ，Google GFS 就 


























] 户 的 数据 都 是 存储 在 自己 的 私有 服务 器 





























E， 数 据 的 保密 等 级 是 必 不 可 少 的 。 这 种 策略 可 以 运用 到 云 存 储 上 面 ， 将 
保存 ， 剩 下 的 普通 数据 存放 在 云 上 ， 这 样 在 私有 存储 和 云 存 储 上 找到 一 
都 得 到 一 个 很 好 的 保证 。 

















4.53 zlii DropBox 的 安全 措施 


DropBox 是 目前 最 火 的 个 人 云 存 储 服 务 ， 允 许 
日 户 设备 间 的 文件 或 者 文件 夹 共享 。 
设 在 Amazon S3 上 面 的 应 用 。DropBox 租 
同步 的 技术 后 ， 将 含有 这 些 技术 的 存储 空间 切 


件 同 步 机 制 实现 月 
DropBox 服务 








是 架 


分 享 信息 的 平台 。 
1. DropBox 概述 


























DropBox 公司 提供 的 








区 会 
rj 





等 。 个 人 云 
取 、 建 立 、 删 除 和 修改 等 动作 。 





关于 数据 同步 ，DropBox 本 身 提供 一 个 网 站 可 以 让 使 月 
除 此 之 外 DropBox 还 提供 
当 用 户 对 该 文件 夹 的 内 容 进 行 变动 时 ，DropBox 会 自动 同步 数据 至 个 人 的 云端 


部 分 ，DropBox 将 所 有 的 功能 主要 分 为 三 个 部 分 : Datastore API 














在 应 用 程序 编程 接 














服务 有 云端 存储 、 数 据 同 步 、 个 人 云 
































] 户 通过 网 络 存 储 和 








* 享 数据 。 它 利用 文 
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r1 


] S3 f£ 
HH Z5 HIE. DropBox 已 成 为 许多 公司 内 部 


财宝 间 ， 加 入 备份 和 














端 空间 和 客户 端 应 用 软件 





端 空间 即 每 个 使 用 者 都 有 属于 自己 个 人 的 云端 空间 ， 用 户 可 以 在 























Sync API 与 Core API, 
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访问 。 
使 月 
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2. DropBox 安全 问题 


DropBox WEAS ERLAR, Hose 





的 焦点 主要 如 下 : 





D 用 户 上 传 至 服务 器 的 文人 
F 增 量 存储 的 ， 即 如 





持 文件 共享 和 文件 








H DropBox 所 提供 的 云 存储 服务 ， 首 纪 
它 会 帮 用 户 把 放 入 “DropBox 专属 文件 来” 中 的 文档 4 


客户 端 应 月 


中 最 重要 的 是 Core API， 提 供 





























日 软件 可 以 让 











t 了 最 重要 












































E 需 要 在 计算 机 上 








hb 下 载 一 个 DropBox 软件 ， 然 后 








上 面 进 行 存储 、 读 











日 者 在 上 面 操作 自己 的 云端 存储 空 
用 户 在 本 地 计算 机 上 设立 特定 的 文件 


守旧 上 。 








的 操作 ， 如 存 取 文档 、 复 





央 、 移 动 和 修改 名 称 等 。Core API 提供 的 SDK 有 Python. Ruby. PHP. Java. Android, iOS 


和 0OSX 等 。 这 些 API 都 是 RESTful API。 但 DropBox 也 支持 使 用 HTTP 方法 对 DropBox 进行 














全 部 同步 到 云端 








人 





安装 DropBox 软件 ， 那 么 通过 云端 同步 ， 每 
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对 











H 











这 两 个 文人 
w H 





[是 同一 个 文人 








Bel 











且 在 服务 器 上 只 保存 一 个 文件 。 如 果 
Bb 么 服务 器 所 保存 的 是 修改 的 增 量 
保存 的 ， 那 么 增 量 保存 的 前 提 是 DropBox 可 以 访问 到 








否 加 密 。 





果 用 户 A 和 B 上 传 同一 个 文件 











， 接 着 再 到 其 他 计算 机 或 











设备 都 能 实时 接收 同一 数据 。 


F 也 会 对 其 安全 保障 提出 质疑 。 质疑 








官方 声称 是 经 过 AES 加 密 ， 但 是 DropBox 是 支 


， 那 么 服务 器 能 够 识别 出 














J^ A 对 部 分 内 容 进行 修 











改 之 后 的 文件 











。 如 果 文 件 是 以 密 文 形式 

















J^ ix 














2) 即使 














拥有 








针对 安全 问题 ，DropBox 采取 了 如 下 安全 措施 : 











DropBox 管理 。 












































态 存储 方面 ， 使 





2) 在 数据 传输 过 程 ! 








就 保证 了 数据 的 完整 怕 
4) DropBox 提供 

















fz 
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CG 





























采用 SSL xi 
3) DropBox 支持 数据 多 备份 。 如 果 宛 余 节 点 失败 ， 月 
FE 和 可 
私 保护 。 只 有 得 到 认 订 











传输 协议 。 








有 户 可 以 通 








E 的 月 








DropBox 规定 只 有 少数 员工 才能 够 访问 元 数据 。 





过 其 他 设备 进 


昌 户 才能 访问 其 数据 。 除 法 得 


F 内 容 。 
] 户 文件 是 以 密 文 形式 保存 ， 密 钥 也 应 该 是 保存 在 DropBox 云端 。 
账号 的 密码 ， 就 可 以 无 须 加 密 密 钥 而 上 传 文件 。 











因为 月 





HER 
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j 标 准 的 AES-256， 在 文件 上 传 到 服务 器 后 进行 加 密 ， 密 钥 

















行 恢复 ， 这 











要 求 外 ， 
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5) DropBox 提供 两 步 认证 机 制 ， 保 障 用 户 账 户 的 访问 安全 。DropBox 的 两 步 验证 所 使 用 
户 账号 有 较 高 的 安全 级 别 。 一 旦 激活 DropBox 的 两 步 验证 ， 用 户 再 次 登录 DropBox 时 ， 需 要 
提供 一 个 六 位 数字 的 验证 码 。 

6) DropBox 文 持 用 户 自 定义 密 钥 。 用 户 可 以 在 使 用 之 前 申请 自己 管理 密 钥 ， 这 样 可 以 避 
免 服 务 提 供 商 访问 数据 ， 但 是 存在 的 一 个 缺陷 就 是 一 旦 用 户 密 钥 丢失 ，DropBox 不 能 提供 用 户 
数据 恢复 功能 。 
4.5.4 ”安全 云 存储 缓存 系统 设计 

本 系统 四 着 眼 于 对 用 户 上 传 的 文件 进行 加 密 ， 即 存储 在 云端 服务 器 上 的 文件 都 是 加 密 文 
件 ， 没 有 用 户 提供 的 解密 密 钥 将 无 法 解密 。 同 时 为 了 提高 访问 第 三 方 云 存储 空间 的 效率 ， 本 系 
统 将 常用 的 文件 在 本 地 预 留 一 份 作 为 缓存 。 

1. 系统 概述 

本 系统 的 核心 是 将 文件 做 加 解密 处 理 。 当 客户 端 上 传 文件 时 ， 运 用 对 称 密 钥 AES 算法 对 
文件 进行 加 密 ， 将 加 密 后 的 文件 存放 在 云 存储 服务 器 上 ， 这 样 就 保证 客户 文件 的 相对 安全 性 。 
当 客 户 端 从 服务 器 下 载 文件 时 ， 将 服务 器 上 加 密 过 的 文件 传 给 它 ， 客 户 端 通过 对 称 密 钥 技术 将 
密 文 还 原 ， 展 现 给 用 户 解 密 后 的 文件 ， 即 原始 文件 。 

本 系统 所 要 完成 的 功能 ， 是 使 用 者 通过 浏览 器 对 云端 的 个 人 存储 空间 进行 上 传 、 下 载 和 
删除 等 操作 。 

系统 主要 由 两 大 部 分 组 成 ， 一 部 分 在 本 地 的 局 域 网 络 内 ， 男 一 部 分 是 通过 互联 网 连接 云 
端 存储 空间 。 在 局 域 网 络 内 ， 用 户 可 通过 个 人 计算 机 、 平 板 电脑 等 装置 通过 浏览 器 进行 操作 ， 
操作 完成 后 ， 本 地 服务 器 会 依照 情况 决定 是 否 修改 云端 存储 空间 的 内 容 。 比 如 上 传 时 ， 则 将 上 
传 至 本 地 服务 器 的 文件 也 上 传 至 云端 存储 空间 。 

2. 上 传 及 加 密 

客户 端 在 上 传 文件 时 的 操作 流程 大 致 如 下 ; 

首先 通过 HTMLS 的 API 去 读 取 拟 上 传 文件 的 内 容 ， 然 后 对 拟 上 传 文件 的 内 容 执行 加 密 
算法 将 文件 加 密 ， 在 加 密 完 成 以 后 再 把 文件 保存 在 传输 区 域 。 传 输 区 域 是 通过 
XMLHttpRequest 和 服务 器 进行 沟通 并 进行 传输 文件 的 地 方 。 在 上 传 文件 时 ， 系 统 首 先 将 文件 
分 割 成 若干 个 小 块 ， 然 后 在 进行 文件 内 容 读 取 、 加 密 和 传输 时 ， 操 作 的 对 象 都 是 由 文件 分 割 出 
来 的 小 块 。 每 个 小 块 的 大 小 可 以 设 定 ， 这 样 做 可 以 避免 在 大 文件 传送 时 ，Web 服务 器 端 因 为 
没有 开启 大 文件 设置 ， 而 无 法 进行 传输 。 即 无 论 读 取 、 加 密 或 传输 都 是 一 次 对 一 个 小 块 进行 处 
里 ， 等 到 所 有 的 块 都 处 理 完毕 ， 才 会 结束 相应 操作 的 执行 。 

3. 下 载 及 解密 

客户 端 在 下 传 文件 时 的 操作 流程 大 致 如 下 ; 

在 下 载 文件 时 ， 为 了 方便 用 户 看 到 目前 的 进度 ， 先 通过 XMLHttpRequest 和 服务 器 进行 沟 
通 并 获取 加 密 过 的 文件 内 容 ， 然 后 再 通过 HTMLS 的 API 去 读 取 文件 内 容 ， 接 着 将 文件 进行 解 
密 ， 每 一 个 块 解 密 完 成 后 会 通过 HTMLS 的 API 将 内 容 附 加 到 一 个 临时 文件 。 当 所 有 块 解 密 
完成 以 后 ， 会 模拟 使 用 者 单 击 下 载 的 动作 ， 跳 出 一 个 窗口 让 用 户 选 择 要 将 文件 存放 的 位 置 ， 之 
后 便 会 将 临时 文件 移动 至 用 户 要 求 的 位 置 。 

总 的 来 讲 ， 下 载 过 程 包含 以 下 步骤 : 从 云 储存 服务 器 〈 如 DropBox) 下 载 文件 、 用 文件 
密 钥 解密 和 读 取 文件 内 容 、 解 密 文件 内 容 、 附 加 至 临时 文件 、 完 成 下 载 文 件 。 
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DropBox | 


进行 文件 下 载 时 ， 会 先 由 缓存 系统 检查 文件 是 否 存在 本 地 的 服务 器 ， 





























所 以 在 客户 端 上 需要 先 将 密 钥 RSA 解密 。 


读 取 部 分 与 上 传 文档 的 读 取 部 分 类 人 
在 客户 端 上 利用 AES 解密 算法 来 解密 ， 











上 下 载 文件 至 本 地 服务 器 。 在 进行 文件 解密 
钥 和 初始 化 向 量 才能 够 解密 文件 ， 从 服务 器 取得 这 一 组 密 钥 以 后 ， 








若 不 存在 ， 将 会 从 





前 ， 客 户 端 会 先 从 服务 器 上 获取 AES 密 


























以 ， 将 内 容 读 取 之 后 再 送 去 解密 。 





























因为 密 钥 使 用 RSA 加 密 ， 


解密 文件 时 ， 则 是 


因此 除了 AES 密 钥 以 外 ， 还 需要 一 个 初始 化 向 量 ， 所 





以 下 载 流 程 会 先 从 服务 器 读 取 ， 读 完 以 后 再 通过 使 用 者 的 RSA 私密 钥 将 二 者 解密 。 
关于 附加 文件 的 流程 : 由 于 需要 把 所 有 的 文件 块 都 附加 到 一 个 临时 文件 ， 因 此 需要 等 所 









































有 区 块 都 解密 完 后 ， 才 会 将 此 临时 文件 发 送 给 使 用 者 。 








关于 完成 下 载 文件 的 处 理 : 首先 获取 块 的 URL， 然 后 对 网 页 上 事先 设计 好 的 超 链 接 组 件 
即 先 修改 超 链接 下 载 的 文档 名 ， 再 将 超 链接 的 URL 修改 为 块 的 URL， 修 改 完成 以 


进行 修改 。 












































后 去 模拟 单 击 超 链接 的 动作 ， 如 此 就 会 在 用 户 的 窗 














4. 分 




















享 文档 



































上 出 现 与 平常 下 载 文件 一 样 的 画面 。 


用 户 可 以 选择 将 文档 分 享 给 其 他 使 用 者 ， 而 在 分 享 文档 时 ， 遇 到 的 第 一 个 问题 是 所 有 上 








传 至 服务 器 的 文档 都 是 经 过 加 密 的 ， 被 分 享 者 即使 可 以 把 分 享 者 的 文档 下 载 ， 也 无 法 使 用 。 但 

















是 ， 每 个 





zu 

















如 此 一 来 ， 





器 索取 欲 分 享 文档 
分 享 者 的 RSA 私有 密 钥 将 文档 的 AES RHEN, MER 















































] 户 在 上 传 文档 时 ， 系 统 会 自动 将 AES 密 钥 一 起 上 传 至 服务 器 。 第 二 个 问题 是 为 了 

































































将 把 解密 后 的 AES 密 钥 加 密 ， 最 后 再 将 加 密 过 后 的 AES 密 钥 上 传 服务 器 。 


5. c 














存 系统 
































保 系统 没有 解密 用 户 文档 的 权限 ， 必 须 在 上 传 AES 密 钥 前 ， 先 将 AES 密 钥 用 RSA 加 密 ， 
被 分 享 者 就 算 获取 文档 的 AES 密 钥 也 无 法 解 开 ， 更 无 法 去 解密 文档 。 
因此 ， 系 统 设置 一 个 特定 机 制 来 处 理 上 述 两 个 问题 。 使 用 者 在 分 享 文档 时 ， 会 先 从 服务 
I AES 密 钥 ， 以 及 被 分 享 者 的 RSA 公共 密 钥 ， 取 得 这 两 者 之 后 ， 系 统 会 用 
F 之 后 再 利用 被 分 享 者 的 RSA 公共 密 钥 














由 于 用 户 与 本 地 服务 器 通常 位 于 同一 个 局 域 网 ， 所 以 传输 速度 不 会 受到 外 部 联机 的 影 








Wo FRH 











存 取 的 性 和 
* 





机 至 DropBox 的 速度 所 

缓存 系统 默认 训 
过 10 个 文档 时 ， 缓 存 系 统 会 通过 最 近 最 少 使 用 页 面 置换 算法 (LRU) 将 最 不 常 被 使 用 的 文档 
移出 服务 器 ， 并 且 用 新 的 文档 进行 奉 代 。 所 有 的 缓存 文件 都 会 记录 于 数据 库 内 的 缓存 数据 表 




















年 系统 ， 该 缓存 系统 会 在 本 地 服务 器 内 存放 使 用 者 的 常 
民 制 ， 可 以 大 幅 提升 访问 速度 。 
:每 个 用 户 可 以 在 本 地 服务 器 上 保留 若干 个 文档 (如 10 个 )， 当 使 用 者 超 




































































中 ， 绥 存 数据 表 内 设置 


满 的 时 候 。 














档 的 Counter 设 为 当前 时 间 的 时 间 戳 。 第 二 种 情况 是 






































第 一 种 情况 ， 上 传 文档 且 绥 存 空间 满 时 ， 系 统 会 9 




















有 Counter 的 最 小 值 ， 即 取出 时 间 戳 为 最 久 以 前 的 ， 
































文档 存放 在 远程 的 DropBox， 则 整个 系统 的 速度 会 受到 外 部 联机 的 影响 。 为 了 提升 
此， 系统 除了 在 DropBox 上 存 有 使 用 者 的 文档 以 外 ， 也 在 本 地 服务 器 上 设置 一 个 组 
部 分 文档 ， 传 输 速度 不 会 受到 对 外 联 





















































两 个 字段 ，Fileid 5E Counter. Fileid 是 代表 哪个 文档 ， 而 Counter 为 时 
间 惟 ， 代 表 上 次 使 用 缓存 的 时 间 。 组 存 的 替换 通常 发 生 在 使 用 者 上 传 或 下 载 文档 并 且 缓 存 空 间 


















































E 在 缓存 数据 表 中 寻找 该 使 用 者 现 
将 其 以 新 上 传 的 文档 取代 ， 并 将 新 上 传 文 
下 载 时 ， 由 于 系统 内 的 所 有 下 载 要 求 都 会 











先 经 过 缓存 系统 ， 这 时 候 缓存 系统 会 先 寻 找 要 求 的 文档 是 否 存在 于 服务 器 内 ， 若 存在 则 为 缓存 














ÆA 
他 rH 





^ Zx 








载 下 来 并 把 该 文档 替换 掉 ， 同 时 将 Counter 设 为 当前 





更 新 绥 存 数据 表 内 该 文档 的 Counter 为 当 




















前 的 时 间 戳 ， 若 不 存 刀 


E 则 为 缓存 失效 ， 同 





样 会 找 出 缓存 数据 表 该 使 用 者 现 有 其 Counter 的 最 小 值 ， 接 着 联机 至 DropBox 将 要 求 的 文档 下 








itis. 
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6. 任务 调度 

在 客户 端 上 还 有 一 个 任务 调度 模块 ， 用 户 所 有 上 传 及 下 载 的 任务 都 会 通过 任务 调度 模 
块 ， 任 务 调 度 采 用 队列 保证 上 传 和 下 载 的 执行 顺序 ， 在 用 户 要 进行 上 传 或 下 载 时 ， 会 先 创建 一 
个 作业 〈Job)， 然 后 送 进 作业 队列 〈JobQueue) 里 的 等 待 队列 CWaitingQueue). 去 等 待 被 执 
行 ， 运 行 队列 CRunningQueue). 内 的 任务 数量 ， 即 执行 中 的 Job 数量 小 于 传输 数量 限制 时 ， 则 
会 从 WaitingQueue 取出 第 一 个 Job 来 执行 ， 并 且 将 该 Job 从 WaitingQueue 移出 放 入 至 
RunningQueue 里 面 。 当 Job 执行 完毕 时 ， 则 会 将 该 Job 从 RunningQueue 里 移 除 ， 如 此 才能 i 
下 一 个 Job 开始 执行 。 

关于 更 多 的 实现 细节 ， 读 者 可 以 阅读 参考 文献 [22]。 
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第 S 音 ”隐私 性 与 安全 性 保护 









































隐私 保护 是 云 计算 发 展 历程 中 所 面临 的 一 个 极 具 挑战 的 问题 。 对 于 云 计算 ! 






































] 户 的 隐私 


问题 ， 需 要 在 相应 法 律 法 规 完善 的 前 提 下 ， 借 助 技术 手段 来 解决 。 而 法 律 法 规 和 技术 手段 的 实 
施 又 离 不 开 完善 的 监督 管理 机 构 。 可 以 说 ， 对 于 云 计算 隐私 的 保护 需要 有 一 个 完备 的 体系 ， 这 
涉及 技术 、 法 律 和 监管 多 个 层面 。 本 章 主要 针对 云 安全 中 数据 隐私 泄露 、 保 护 数据 隐私 的 技术 
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手段 及 相关 法 规 进 行 前 述 。 
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5.1.1. 隐私 的 定义 





























自 人 类 社会 形成 以 来 ， 隐 私 便 随 之 产生 ， 并 伴随 着 人 类 社会 的 发 展 ， 逐 步 具 有 了 











1. 隐私 概念 之 演变 





























内 涵 。 


隐私 是 一 个 不 断 发 展 的 概念 。 从 横向 看 ， 同 一 时 期 的 不 同 国家 对 于 隐私 有 不 同 的 理解 ， 





























从 纵向 看 ， 不 同时 代 的 同一 国家 对 于 隐私 也 有 不 同 的 解释 。 

















在 不 同 领域 中 ， 人 们 对 隐私 这 个 名 词 的 理解 也 不 一 样 。 比 如 : 在 政治 和 法 得 






































领域 ， 隐 私 


常 被 定义 为 物理 形式 上 的 隐私 ， 即 特定 的 个 体 在 各 种 场所 都 可 以 按照 自主 的 意愿 来 做 决定 ， 而 





























` 会 受到 外 界 因素 的 影响 ， 在 商业 活动 中 ， 隐 私 包括 了 商业 机 密 、 产 品 设计 信息 、 交 易 过 程 记 





























录 、 莞 争 对 手 分 析 以 及 市 场 调查 和 销售 计划 等 ， 在 信息 领域 ， 隐 私 是 指 不 愿 被 镭 取 和 披露 的 私 
人 信息 ; 对 于 个 人 而 言 ， 隐 私 是 指 每 个 人 应 具有 的 对 其 机 密 信 息 的 控制 能 力 。 



































最 早 对 隐私 概念 给 出 定义 的 是 ， 美 国 私法 学 者 Warren 和 Brandeis 于 
学 评论 》(Harvard Law Review) 上 发 表 的 “ 论 隐私 权 ” 一 文 。 文 中 描述 至 






















































































1890 年 在 








《哈佛 法 


|: “由 于 技术 进步 和 
都 市 报纸 的 帘 私 兽 ， 有 必要 为 隐私 提供 新 的 法 律 保护 。 快 速 照 相 和 报社 已 经 侵犯 了 个 人 和 公民 


生活 的 神圣 领地 ， 许 多 机 械 设 备 的 使 用 预示 着 我 们 面临 着 这 样 的 威胁 ”“ 最 亲近 的 人 说 的 悄悄 








话 也 将 被 从 屋顶 上 宣扬 出 去 ”他 们 明确 提出 :“ 让 我 独处 并 且 不 受 别人 干扰 的 权利 ” 这 是 人 




















类 第 一 次 以 明确 的 语言 表述 隐私 的 含义 。 

















1960 年 ， 美 国法 律 学 者 William Prosser 发 表 “Privacy《〈 隐 私 )” 一 文 。 它 将 侵犯 隐私 的 








类 别 归 纳 为 四 种 情况 趾 ，@ 侵入 私人 生活 领域 ， 即 未 经 他 人 同意 ， 侵 扰 他 人 不 愿 受 干扰 之 独 
处 、 隐 秘 的 私人 领域 或 私生活 ， 如 偷 阅 他 人 日 记 ; C 公开 他 人 私事 或 不 堪 之 事 ; © 扭曲 形 
象 ， 如 在 社交 网 站 上 ， 将 发 生 口角 的 菜 人 和 夸大 丑化 传 述 : © 使 用 他 人 识别 表征 ， 如 未 经 本 人 






































同意 而 模仿 某 一 残疾 名 人 之 独特 行走 方式 ， 放 置 到 网 络 上 供 人 观看 。 










































































美国 学 者 Thomas J. Smedingoff 提出 所， 在 网 络 电子 信息 时 代 ， 个 人 隐私 表现 有 四 个 方 








Ii: CO 个 人 属性 隐私 ， 如 个 人 的 姓名 、 生 日 和 肖像 等 ， 由 于 直接 涉及 个 人 领域 ， 属 于 隐私 保 














护 之 首要 对 象 ，@ 个 人 信息 隐私 ， 个 人 属性 以 文字 描述 或 记录 时 ， 该 信 ， 



































昌 为 个 人 化 





上 日 具 有 唯 

















一 性 时 ， 便 具有 高 度 个 人 特性 与 可 辨识 性 ， 因 此 属于 间接 个 人 属性 ， 也 应 保护 ，@) 通信 和 隐 

















720 
































私 ， 个 人 表达 情感 与 | 





思想 



































党 体现 于 对 他 人 的 谈话 和 沟通 上 ， 吻 其 露 并 唱 他 人 舌 探 ， 为 求 个 人 人 








格 完整 发 展 ， 也 应 加 以 保护 ，@@) 匿名 隐私 ， 社 会 群体 生活 中 ， 集 体 共同 想法 未 必 与 个 人 想法 
















































































一 致 ， 故 需 保障 个 人 能 以 匿名 方式 表达 其 意见 之 需求 。 

随 着 云 计 算 时 代 的 到 来 ， 互 联网 将 时 时 刻 刻 释放 出 海量 数据 。 大 数据 背后 隐藏 着 政治 
与 经 济 利益 ， 尤 其 是 通过 数据 整合 、 分 析 与 挖 据 ， 所 表现 出 的 数据 整合 与 控制 力量 已 经 远 
超 以 往 。 

大 数据 如 同一 把 双 刃 剑 ， 社 会 因 大 数据 的 使 用 而 获 益 菲 浅 ， 但 个 人 隐私 也 无 处 拥 形 ， 





即 大 数据 应 用 的 最 大 问题 是 个 人 隐私 的 保护 问题 。 当 

















我 们 发 微 博 、 浏 览 网 页 时 ， 涉 及 个 人 





隐私 的 数据 在 无 形 中 被 系统 所 记录 。 然 而 ， 和 危险 并 不 局 限于 个 人 隐私 泄露 ， 还 可 能 利用 大 

















数据 对 我 人 
也 发 生 了 改变 。 


大 数据 时 代 的 隐私 主要 是 指 公 民 个 人 的 大 
如 ， 通 过 对 一 个 人 在 社交 网 站 上 活动 轨迹 的 分 析 ， 其 个 人 
会 威胁 到 个 人 数据 的 隐秘 性 。 于 是 传统 的 对 隐私 权 保 护 的 











路 上 ， 信 息 隐私 权 概 念 也 
所 谓 信息 隐私 权 是 














门 的 行为 进行 控 和 








Um 














应 运 而 生 。 


分 析 与 预测 。 

















} 密 ， 包 提 




















因此 ， 随 着 大 数据 时 代 的 来 临 ， 对 隐私 的 定义 


6 个 人 的 行为 、 习 惯 和 心理 状态 等 。 比 
隐私 就 会 
思考 ， 就 转向 以 数据 保护 为 重心 的 思 





被 “透明 ”这 种 趋势 无 疑 




















指 在 没有 通知 当事人 3 
事 人 为 某 特定 目的 所 提供 的 数据 用 在 另 一 个 目 














获得 其 书面 





同意 











人 不 仅 是 个 人 数据 产 出 的 最 初 来 源 ， 也 是 其 正确 性 和 完整 





范围 的 参与 者 。 由 此 可 见 
护 个 人 隐私 的 重要 机 制 之 
2， 隐 私 的 定义 

什么 是 


AE 
通 。 隐 私 具 有 如 下 四 种 状 
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， 这 种 需要 明 
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A. 
mu 











隐私 ? 隐私 是 指 人 可 以 决定 何 时 、 如 何以 及 以 什么 样 程度 的 个 人 信息 和 


E 
的 上 。 简 而 言 之 ， 信 ， 
生 的 最 后 审核 者 ， 以 及 个 人 数据 使 


1， 数 据 持 有 者 不 可 以 将 当 
昌 隐 私 权 的 中 心思 想 是 : 个 









































白 告 知 并 参与 决定 的 个 人 数 ] 


所 支配 权 ， 是 大 数据 时 代 保 














他 人 沟 





(1) 独处 ”独处 是 指 个 人 可 以 独立 于 群体 之 外 ， 不 受 任何 人 的 监视 ， 这 是 隐私 最 极端 的 


形式 。 

(2) ÆI 
HAREJ 
的 小 团体 。 








Gu 





之 | 


pri 








亲昵 是 指 个 人 可 以 在 一 个 小 群体 




















(3) 








Em 个 人 喘 处 公 








监视 ， 而 可 以 获得 行动 的 





























出 现在 某 个 场合 或 做 








场合 或 公 

















受 言论 。 





(4) 保留 ”保留 是 一 个 人 所 创造 的 心理 
人 ， 有 所 保留 和 保持 一 种 个 人 与 他 人 的 心理 
以 上 所 给 出 是 隐私 比较 广泛 的 定义 ， 而 在 商业 上 对 于 隐私 的 定义 是 指 对 于 














场所 所 做 的 举动 ， 行 为 人 
由 。 昌 然 辨 识 个 人 的 身份 或 监视 个 人 的 行动 ， 并 没有 直接 阻止 个 人 
出 某 种 举动 。 但 是 受到 辨识 或 监视 的 个 人 却 会 因 


不 敢 或 不 愿 出 现在 特定 场所 或 表现 出 特定 举动 ， 这 种 匿名 状态 包括 个 人 匿名 发 表 言 论 或 


PF， 不 受 外 界 的 干扰 。 典 型 的 亲密 关系 包 
司 的 关系 。 这 种 亲昵 关系 不 限于 两 个 人 ， 但 是 必须 是 可 以 与 外 界 有 所 区 分 


的 身份 不 会 被 辨识 或 受到 














为 社会 压力 或 某 种 原因 








而 
匿名 接 























E 离 。 


E 离 ， 对 其 他 人 ， 即 使 是 在 杀 密 关系 中 的 其 他 

















j 户 个 人 和 机 








构 等 实体 不 愿意 对 外 披露 、 不 想 被 外 部 的 人 或 系统 所 掌握 的 信息 。 


数据 、 必 须要 控制 敏感 数据 的 泄露 以 及 控 4 





J 影响 。 








这 表明 隐私 是 有 关于 敏感 








天 实体 〈 包 含 数据 原始 拥有 者 与 建立 者 ) 受到 泄露 
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5.1.2 ”隐私 的 度量 
再 先进 的 技术 也 难免 存在 漏洞 ， 面 对 恶意 攻击 者 的 强大 攻击 力 ， 个 人 隐私 仍旧 会 被 泄 
露 。 于 是 出 现 了 隐私 度量 这 一 概念 ， 用 来 评估 个 人 的 隐私 水 平 及 隐私 保护 技术 应 用 于 实际 生活 
中 所 能 够 达到 的 效果 中。 
所 谓 隐 私 度 量 是 指 用 来 评估 隐私 的 保护 效果 ， 同 时 也 是 为 了 度量 隐私 这 个 概念 。 目 前 ， 
数据 隐私 的 保护 效果 主要 是 通过 攻击 者 披露 隐私 的 多 少 来 反映 的 ， 即 现 有 的 隐私 度量 都 可 以 通 
过 披露 风险 来 描述 。 
披露 风险 表示 攻击 者 根据 所 发 布 的 数据 和 其 他 背景 知识 ， 可 能 披露 隐私 的 概率 ， 即 关于 
隐私 数据 的 背景 知识 越 多 ， 披 圳 风险 越 大 。 
WRH s 表示 敏感 数据 ，Si 表示 攻击 者 在 具有 背景 知识 的 情况 下 所 揭露 的 敏感 数据 s， 
则 披露 风险 x(s, 忆 可 以 用 S54 的 概率 即 r(s, Kk) PSQ)?oE RS - 
对 特定 数据 集 而 言 ， 若 数据 所 有 者 最 终 发 布 数据 集 内 的 所 有 敏感 数据 的 披露 风险 都 小 于 
AERE ae[0,1]， 则 称 该 数据 集 的 披露 风险 为 a。 其 中 ， 披 露 风 险 为 1 表示 不 做 任何 处 理 地 
发 布 数 据 集 ， 披 露 风险 为 0 时 所 发 布 的 数据 被 称 为 实现 了 完美 隐私 。 完 美 隐私 实现 了 对 隐私 最 
大 程度 的 保护 ， 但 由 于 对 攻击 者 背景 知识 的 假设 本 身 是 不 确定 的 ， 因 此 实现 对 隐私 的 完美 保护 
只 能 是 在 特定 场景 下 成 并 。 


5.1.3 ”隐私 保护 技术 分 类 与 度量 


1. 隐私 保护 技术 的 分 类 
隐私 保护 主要 是 为 了 防止 恶意 者 标识 特定 个 体 而 造成 的 敏感 信息 泄露 。 目 前 ， 为 了 防止 
数据 发 布 中 的 隐私 泄露 问题 ， 研 究 人 员 在 不 同 的 应 用 领域 提出 了 如 下 不 同 的 解决 方案 ; 
(1) 针对 个 人 隐私 的 保护 方法 “从 保护 个 人 隐私 的 角度 来 看 ， 加 密 技 术 和 匿名 技术 是 当 
前 最 为 通用 的 隐私 保护 技术 。 加 密 技 术 能 够 防止 非法 用 户 访问 个 人 存储 的 隐私 信息 ， 也 能 够 保 
护 在 通信 网 络 中 传输 的 隐私 信息 不 被 恶意 的 第 三 方 所 解读 。 
匿名 技术 能 够 在 个 人 用 户 使 用 互联 网 的 各 种 功能 时 提供 匿名 性 ， 也 可 以 防止 用 户 个 人 信 
AINE o 
(2) 数据 库 中 的 隐私 保护 技术 ”隐私 保护 技术 在 数据 库 领域 的 应 用 主要 集中 在 数据 挖 
据 和 匿名 发 布 两 个 领域 。 从 数据 库 应 用 角度 进行 分 析 ， 应 用 广泛 的 隐私 保护 技术 主要 包括 
三 种 四，Q@ 数据 加 密 ， 对 可 能 暴露 的 敏感 数据 进行 加 密 处 理 ， 从 而 使 数据 库 应 用 中 的 数据 
机 密 性 得 到 保障 ，@ 数据 失真 ， 基 于 数据 失真 的 隐私 保护 技术 可 以 通过 对 原始 数据 进行 
扰动 处 理 ， 从 而 有 效 保护 数据 的 隐私 性 ; CO 限制 发 布 ， 基 于 限制 发 布 的 实质 是 通过 对 数 
据 库 系统 发 布 环节 的 数据 进行 加 工 处 理 ， 并 对 满足 一 定 条 件 的 数据 茶 部 分 域 值 进行 泛 化 处 
理 ， 进 而 实现 对 数据 库 隐 私 数据 内 容 的 有 效 保护 。 
对 比 上 述 三 项 隐私 保护 技术 可 知 : 基于 数据 加 密 的 隐私 保护 技术 虽然 能 够 保证 数据 良好 
精确 性 和 安全 性 ， 但 却 会 消耗 较 多 的 资源 ， 导 致 实用 性 偏差 ， 基 于 数据 失真 的 隐私 保护 具有 较 
高 的 应 用 效率 ， 但 却 会 导致 部 分 的 数据 信息 丢失 ， 而 这 也 正 是 基于 限制 发 布 的 隐私 保护 技术 的 
缺陷 所 在 。 
2， 隐 私 保护 技术 度量 
在 信息 领域 ， 隐 私 保护 技术 需要 在 保护 隐私 的 同时 ， 兼 顾 其 利用 率 和 计算 开销 。 而 对 信 
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息 领域 内 隐私 保护 技术 的 度量 可 以 从 以 下 几 个 方面 考虑 中 

CI) 隐私 保护 度 ” 隐 私 保护 度 通 常 通过 发 布 数据 的 披露 风险 来 反映， 披露 风险 越 小 ， 隐 
私 保护 度 越 高 。 

(2) 数据 缺损 数据 缺损 是 对 发 布 数据 的 数据 质量 的 度量 ， 反 映 了 通过 隐私 保护 技术 处 
理 后 数据 的 信息 丢失 。 数 据 缺 损 越 高 ， 信 息 琶 失 越 多 ， 数 据 利 用 率 越 低 。 主 要 有 两 个 衡量 指 
标 : CO 信息 缺损 与 可 用 性 ， 数 据 的 信息 损失 情况 是 一 个 重要 参数 ， 如 损失 率 过 大 则 数据 失去 
HHE: © 重 构 数 据 与 原始 数据 的 相似 度 。 

(3) 算法 性 能 通常 利用 时 间 复 杂 度 对 算法 性 能 进行 度量 ， 有 时 也 会 考虑 空间 复杂 度 。 
在 分 布 式 环境 中 ， 还 需要 增加 通信 开销 这 个 衡量 分 布 式 算法 性 能 的 常用 指标 。 

(4) 服务 可 用 性 ”服务 可 用 性 是 指 信息 的 准确 度 和 及 时 性 ， 反 映 通 过 隐私 保护 技术 处 理 
后 用 户 获得 的 基于 位 置 数据 的 服务 质量 。 通 常 需 要 在 服务 可 用 性 与 隐私 保护 程度 之 间 需 要 进行 
权衡 ， 提 高 隐私 保护 程度 有 时 会 降低 服务 的 可 用 性 。 

(5) 开销 数据 隐私 保护 技术 的 开销 主要 包括 预计 算 和 运行 时 发 生 的 存储 和 计算 代 
价 。 存 储 代价 主要 发 生 在 预计 算 时 ， 预 计算 的 代价 在 现 有 技术 中 通常 可 以 接受 ， 并 在 选 
择 隐 私 保护 技术 时 被 忽略 。 运 行 时 计算 代价 一 般 通 过 CPU 时 间 以 及 文件 块 访问 次 数 的 时 
间 复 杂 度 进行 度量 。 


5.1.4. 云端 数据 隐私 问题 

云 服务 供应 商 是 一 个 代替 其 他 实体 负责 维护 信息 的 第 三 方 ， 一 旦 个 人 等 实体 将 信息 上 传 
到 云端 ， 就 会 产生 用 户 隐私 和 数据 安全 性 问题 。 若 用 户 信 任 第 三 方 就 必须 要 承担 风险 。 因 为 第 
三 方 不 一 定 会 依照 用 户 期 望 来 运行 。 

1， 云 计算 隐私 问题 的 来 源 

在 云 计算 环境 中 ， 对 数据 隐私 保护 的 威胁 可 能 来 自 多 个 方面 。 总 体 来 说 ， 云 数据 隐私 保 
护 的 威胁 来 自如 下 几 个 方面 ; 
COD 用 户 端 隐私 安全 问题 “如果 不 提供 有 效 的 安全 保护 措施 ， 以 现 有 的 分 布 式 技术 为 基 
础 的 去 计算 中 的 每 一 个 终端 都 可 以 通过 一 定 手段 去 访问 除 本 机 外 的 其 他 主机 。 其 中 ， 软 件 漏 
洞 、 病 毒 攻 击 是 用 户 端 隐私 安全 风险 的 主要 来 源 。 比 如 ， 北 卡罗来纳 州立 大 学 和 俄勒冈 大 学 的 
安全 研究 人 员 发 现 ， 黑 客 利用 移动 浏览 器 漏洞 可 以 窃取 云 计算 资源 。 
(2) 网 络 传输 的 隐私 安全 问题 ”去 环境 下 数据 传输 将 更 为 开放 和 多 元 化 ， 这 样 就 有 可 能 
出 现 隐私 泄露 问题 。 数 据 在 网 络 传输 过 程 中 所 面临 的 隐私 安全 问题 主要 是 指 通过 非法 手段 截取 
数据 或 者 是 恶意 攻击 、 算 改 或 删除 数据 等 。 安 全 问题 主要 包括 数据 包 被 非法 窃取 、 非 法 攻击 、 
非法 修改 和 破坏 等 。 ， 传 统 物理 区 域 隔离 的 方法 不 能 有 效 保证 远 距离 传输 的 安全 人 性， 电磁 
泄漏 和 窃听 将 成 为 更 加 突出 的 安全 威胁 。 
GO 云端 的 隐私 安全 问题 “在 云 计算 模式 下 ， 数 据 集中 存储 在 云端 ， 云 服务 中 用 户 无 法 
知道 数据 确切 的 存放 位 置 ， 用 户 对 其 个 人 数据 的 采集 、 存 储 、 使 用 及 分 享 无 法 有 效 控制 。 此 
外 ， 还 可 能 因 不 同 国家 的 法 律 规 定 而 造成 法 律 冲突 问题 ， 也 可 能 产生 数据 丢失 等 情况 ， 对 个 人 
隐私 权 造 成 的 侵犯 。 

云端 的 数据 隐私 安全 主要 包括 如 下 几 个 方面 ; 

1) 在 数据 存储 过 程 中 对 个 人 隐私 权 造 成 的 侵犯 。 云 服务 中 的 数据 存储 安全 包括 数据 
的 隔离 、 意 外 受 损 或 丢失 数据 的 恢复 ， 以 及 数据 的 机 密 性 、 完 整 性 以 及 可 用 性 等 。 一 方面 

123 









































ud 









































































































































































































































































































































































































































Zz 





五 














































































































II 











































































































































































































SHERRI AA Zeda E 














症 ; 另 一 方面 为 了 保证 数据 的 可 用 性 ， 服 务 提供 商 可 能 会 把 用 
户 数据 在 不 同 数据 中 心 之 间 进 行 迁移 ， 增 加 了 数据 被 泄露 的 概率 。 
































2) 在 数据 处 理 过 程 中 对 个 人 隐私 权 造 成 的 侵犯 。 云 服务 提供 商 可 能 部 署 大 量 的 虚拟 


技术 ， 基 础 设施 的 脆弱 性 和 加 密 措 施 的 失效 都 可 能 产生 新 的 安全 风险 。 大 规模 的 数据 处 理 
需要 完备 的 访问 控制 和 身份 认证 管理 ， 以 避免 未 经 授权 的 数据 访问 ， 但 云 服务 资源 动态 共 

























































































享 的 模式 无 颖 增加 了 这 种 管理 的 难度 ， 账 户 劫持 、 攻 击 、 身 份 伪 装 、 认 证 失效 及 密 钥 天 失 
等 都 可 能 威胁 用 户 数 据 安全 。 
3) 在 数据 销毁 过 程 中 对 个 人 隐私 权 造 成 的 侵犯 。 单纯 的 删除 操作 不 能 彻底 销毁 数 




















据 ， 云 服务 提供 
























































A 可 能 对 数据 进行 备份 ， 同 样 可 能 导致 销毁 不 彻底 ， 而 且 公 权力 也 会 对 个 














人 隐私 和 个 人 信息 进行 侵犯 。 为 满足 协助 执法 的 要 求 ， 各 国法 律 通常 会 规定 服务 商 的 数据 






































存留 期 限 ， 并 强制 要 求 服务 商 提 供 明 文 的 可 用 数据 ， 但 在 实践 中 很 少 受 到 收集 限制 原则 的 
约束 ， 公 权力 与 隐私 保护 的 冲突 也 是 用 户 选择 云 服务 时 应 考虑 的 。 
(4) 法 规 和 标准 的 隐私 安全 问题 ”首先 ， 数 据 隐私 法 律 保护 机 制 的 缺失 降低 了 云 服务 提 


供 商 因 侵权 行为 受罚 的 机 会 和 成 本 ， 导 致 风 
WR. 其次， 由 于 各 国 的 法 律 标 准 不 同 ， 数 据 备份 或 者 存储 到 相关 的 法 律 法 规 保护 不 健全 的 国 

































































家 ， 用 户 数据 可 能 就 会 失去 法 律 的 保护 ， 造 
据 中 心 遍 布 全 球 ， 其 云 中 的 数据 是 全 球 性 的 
家 都 有 自己 的 法 律 法 规 以 及 管理 要 求 ， 显 然 


























律 标 准 ，Google 云 数 据 的 隐私 安全 也 很 难 
(5) 大 数据 所 隐 含 的 价值 ”首先 ， 由 了 



































险 侵权 因 “ 低 成 本 、 高 利润 ”而 不 断 增 多 的 恶性 循 











成 用 户 数据 被 泄露 的 风险 扩大 。 例 如 Google 的 数 
， 用 户 不 知道 自己 的 数据 会 在 哪个 地 方 ， 而 不 同 国 
































在 各 个 国家 得 到 保障 。 





云 服务 提供 者 不 可 能 做 到 满足 所 有 的 涉及 国家 的 法 

















络 活动 中 始终 处 于 弱势 地 位 ， 为 那些 具有 技 
了 便利 ， 这 使 得 公众 在 网 络 环境 下 面临 更 多 
增 来 改变 现状 。 目 前 所 采集 的 大 部 分 数据 都 包含 个 人 信息 ， 如 姓名 、 电 话 和 家 庭 地 址 等 。 这 












































2. 云 计算 隐私 保护 的 基本 需求 





根据 Gartner 的 调查 报告 来 看 ， 绝 大 部 分 用 户 表 明 目 前 没有 应 用 云 计 算 服务 的 最 主要 原因 








是 考虑 到 云 服务 潜在 的 数据 隐私 安全 问题 。 












































j 户 数据 隐私 的 最 习 


E 要 措施 ， 也 是 云 计算 发 




















网 络 及 大 数据 应 用 中 的 技术 特征 ， 使 得 公众 在 网 
术 优 势 的 商家 收集 、 传 播 并 利用 用 户 隐私 信息 提供 
的 隐私 问题 。 其 次 ， 大 数据 核心 思想 就 是 用 规模 剧 













































































样 ， 经 由 数据 处 理 之 后 就 有 可 能 追溯 到 个 人 隐私 信息 ， 即 存在 个 人 隐私 泄露 的 可 能 。 
































因此 建立 良好 的 云 计算 数据 隐私 保护 机 制 ， 是 保护 
展 的 关键 性 问题 。 





云 中 的 隐私 数据 安全 保护 的 基本 需求 如 图 5-1 所 示 ， 主 要 由 五 个 部 分 组 成 。 























ip 完整 性 可 限制 
可 用 性 









图 5-1 云 中 的 隐私 数据 安全 的 基本 需求 


CI) 机 密 性 ”隐私 数据 的 本 意 就 是 不 希望 被 他 人 所 知 的 一 些 数据 ， 因 此 就 要 做 到 无 论 是 
没有 得 到 授权 的 对 数据 的 恶意 访问 或 是 得 到 
该 采取 一 定 的 措施 使 得 这 些 恶 意 的 行为 无 法 获得 隐私 数据 。 
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访问 授权 后 对 隐私 数据 进行 的 深度 数据 挖掘 ， 都 应 





(2) 完整 性 








(30 可 限制 ”对 获取 





























对 隐私 数据 的 访问 进行 授权 ， 并 进行 权限 分 割 。 比 如 普通 访问 者 不 应 该 拥 
有 修改 和 删除 这 些 隐私 数据 的 权限 ， 从 而 保证 了 隐私 数据 的 完整 性 和 一 致 性 需求 。 


隐私 的 使 用 许可 范围 。 





(4) 可 用 性 ”隐私 数据 必须 是 可 





























数据 无 法 得 到 真 了 


























E 的 使 月 

















隐私 数据 访问 授权 的 用 户 进行 严格 的 数据 操作 控制 ， 不 允许 其 超过 











的。 如 有 果 是 因为 某 种 的 安全 措施 过 于 严密 而 使 得 隐私 
昌 ， 那 么 保护 隐私 的 安全 措施 也 就 失去 了 其 真正 价值 。 





















































(5) 可 审计 所 有 对 于 隐私 数据 的 访问 日 志 都 应 该 进行 记录 和 备份 ， 当 隐私 数据 受到 非 
法 攻击 时 ， 能 够 对 访问 日 志 进 行 查询 ， 可 以 对 不 法 的 隐私 数据 访问 者 进行 责任 追究 。 








上 述 五 个 部 分 相互 配合 ， 
隐私 数据 安全 保护 都 会 存在 潜在 的 危险 。 
3. 云端 数据 隐私 保护 技术 多 样 化 















































云 计算 环境 ! 
云 用 户 希 望 服务 提供 商 能 够 对 
确保 用 户 的 敏感 数据 能 够 安全 存放 在 其 云 ! 

(1) 数据 扰乱 技术 
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能 够 很 好 地 保护 隐私 数据 的 安全 。 如 果 少 了 其 中 的 任何 一 个 ， 





用 户 和 云 服务 提供 商 需 要 共同 承担 云 计算 数据 安全 的 责任 。 一 方面 ， 
要 数据 采取 必要 的 安全 保护 手段 ， 另 一 方面 ， 服 务 提供 商 需 要 


























。 可 以 采用 的 技术 很 多 ， 举 例如 下 : 





通过 一 定 的 隐私 策略 ， 对 原始 数据 进行 修改 ， 使 数据 挖掘 等 技术 无 


法 从 最 终 发 布 的 数据 中 提取 原始 数据 信息 或 隐私 信息 ， 以 达到 保护 隐私 的 目的 。 


(2) 密码 技术 
议 ， 实 现 无 信息 泄露 的 分 布 式 安 
(QD 数据 擦 除 技术 





























基于 密码 的 隐私 保护 技术 ， 主 要 利用 非 对 称 加 密 机 制 形 成 交互 计算 协 
计算 ， 以 文 持 分 布 式 环境 中 隐私 保持 的 挖掘 工作 。 
在 云 计算 环境 中 ， 企 业 与 个 人 对 自己 敏感 信息 最 直接 的 保护 方法 是 
































将 数据 进行 删除 ， 然 而 ， 目 前 大 量 的 数据 恢复 类 工具 能 够 轻松 地 恢复 这 些 数 据 。 因 此 ， 对 抗 数 


据 恢 复 技术 ， 即 实现 真 
需求 ， 定 位 到 这 些 数据 # 


5.1.5 ”云端 数据 隐私 保护 现状 


























FE 意义 上 的 数据 擦 除 技术 应 运 而 生 。 其 目标 是 能 够 按照 用 户 的 数据 消除 
不 可 逆 地 探 除 这 些 数据 。 




















目前 ， 对 于 隐私 保护 的 研究 主要 包含 两 个 方面 。 第 一 个 方面 是 法 律 法 规 的 完善 ， 第 二 个 


方面 是 隐私 保护 技术 的 研究 。 











有 关 云 计算 的 隐私 安全 保护 技术 已 经 成 为 学 术 界 和 产业 界 关 注 的 热点 话题 之 一 。 比 如 ， 
参考 文献 [6] 讨 论 了 云 计算 隐私 的 影响 、 威 胁 和 漏洞 、 问 责 制 以 及 隐私 安全 风险 评估 的 挑战 。 
参考 文献 [7] 分 析 了 云 计算 的 框架 特征 ， 并 指出 云 计 算 的 特征 决定 了 其 涉及 不 同 的 安全 和 隐私 
问题 。 参 考 文献 [8] 评 估 隐 私 、 安 全 和 可 信和 在 云 环境 中 是 如 何 发 生 的 ， 并 指出 隐私 威胁 依据 云 










































































计算 的 场景 的 类 型 不 同 而 不 同 。 参 考 文献 [9] 总 结 了 云 计算 数据 安全 、 法 律 法 规 和 不 同 国家 标 
准 等 相关 的 隐私 争议 。 参 考 文献 [10] 调 查 了 多 种 因素 影响 云 计算 隐私 和 安全 问题 。Roy 等 人 中 














将 集中 信息 流 控 人 






































帮助 用 户 控制 自己 的 敏感 信息 在 云端 的 存储 和 使 

















另外 ， 国 内 外 标准 化 组 织 机 构 也 积极 参与 到 隐私 保护 的 标准 化 制订 的 进程 中 。 比 如 ， 


ISO/IEC 提出 了 一 种 隐私 保护 框架 ， 该 框架 的 主要 内 容 包括 了 隐私 保护 过 程 中 涉及 的 角色 、 数 





























所 和 差分 隐私 保护 技术 融入 云 中 的 数据 生成 与 计算 阶段 ， 提 出 了 一 种 隐私 保护 
系统 Airavat， 防 止 MapReduce 计算 过 程 ! 








非 授 权 的 隐私 数据 泄露 出 去 ， 并 支持 对 计算 结果 的 






































动 解密 。 参 考 文献 [12] 提 出 了 一 种 基于 客户 端的 隐私 管理 工具 ， 以 用 户 为 中 心 的 信任 模型 ， 




















































































































据 信息 、 术 语 、 隐 私 泄露 风险 、 隐 私 保护 需求 和 隐私 保护 原则 等 。 该 框架 从 整体 出 发 ， 搭 建 了 
一 个 完整 全 生命 周期 的 隐私 保护 标准 化 系统 ， 首 先 对 隐私 保护 的 需求 和 评估 标准 等 进行 了 更 加 
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规范 的 定义 ， 同 时 对 
还 提出 了 一 利 
的 结构 、 流 程 和 功能 
程 。 男 外 ，ISO/AEC 还 提 


] 户 
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个 人 身份 相关 信息 的 处 理 





出 了 一 利 


对 隐私 保护 做 了 更 深入 的 分 析 。 


5.2 ”云端 服务 契约 


云端 服务 提供 











商 在 提供 


与 隐私 保护 原则 
服务 时 ， 
































数据 安全 以 及 规范 与 使 用 








款 是 否 满 足 个 人 隐私 数据 保护 法 尚 需 





如 何 保障 自身 的 权益 。 





者 之 间 的 法 律 关 系 ， 但 云端 


过 程 明 胡 




















Roen 
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EXT 
隐私 参考 体系 架构 。 该 架构 从 整体 上 定义 了 隐私 保护 的 
FF 出 发 ， 包 括 了 对 单一 实例 的 隐私 保护 过 程 中 的 开 
隐私 能 力 评估 模型 及 部 分 





匿名 和 部 分 不 可 连接 认 放 


通常 通过 隐私 权 政策 及 服务 条 吕 
上 订 的 隐私 权 政 策 及 月 


pr 





永 该 遵循 的 原则 。ISOTEC 
全 生命 周期 ， 从 隐私 保护 


发 、 处 理 和 执行 等 过 
[的 需求 ， 


























钦 来 表达 如 何 保障 用 户 的 
及 务 条 

















Em KEAL 


























5.2.1 ”云端 服务 契约 的 隐私 权 政 策 


端 服务 提供 




















商 的 隐私 政策 是 指 云 服务 提供 商 对 了 














使 用 和 保护 的 
责任 归属 等 条 款 。 





从 现今 的 云端 服务 模式 来 看 ， 云 端 服务 提供 商 
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用 者 使 用 ， 但 实际 上 不 难 
告 行为 大 多 与 用 户 的 隐私 





宣示 ， 而 隐私 权 政策 的 内 容 大 多 牵涉 信息 














发 现 其 主要 是 通过 广告 行 
DENS 

















[a] H 


PA 








隐私 、 








J 为 的 收入 来 支 

















Par a mm 


世相 关 ， 有 了 时 甚至 会 侵犯 使 








者 的 隐 





日 户 的 数据 及 隐私 如 何 收集 、 
安全 性 、 匿 名 性 、 





者 在 享受 云端 服务 时 ， 也 能 了 解 


分 析 、 
系统 可 靠 性 与 











虽然 打 着 免费 的 口号 提 化 








t 其 平台 架构 给 使 




















寺 他 


们 平 











的 运作 ， 而 这 些 / 

















U^ 


私 权 利 。 比 如 Google f 

















供 了 一 系列 的 如 文件 编辑 
息 应 用 到 其 商业 
的 隐私 ，Google 
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Eie 


也 明 




















SF ZH 





服务 ， 这 些 服务 收集 和 存储 了 大 量 





这 种 商业 模式 势必 会 引起 信息 安全 人 
这 些 服务 将 带 来 信息 






































图 平 县 外 界 的 疑 
素 
用 户 在 Facebook Ef} 


于 如 


DED o 























; LA Facebook 及 其 联盟 网 站 追踪 使 
的 友人 ， 和 希望 通过 


Facebook 的 Beacon 服务 
者 在 网 站 


























安全 的 问题 
， 该 服务 是 Facebook | 























的 担 


ja 





息 ， 并 将 这 些 个 人 信 


忧 ， 担 心 过 度 侵 犯 使 用 者 




















-的 活动 或 购 

















因此 便 通过 隐私 权 政策 的 制订 


KR 











告 系统 的 核心 元 








物 行 





为 ， 并 将 这 些 信息 提供 给 





























标 式 ) 








同 的 社 








和 群 进行 














纷纷 择 击 Beacon 危害 用 
Facebook 最 终 宣布 关闭 
供 服 务 的 口号 来 吸引 使 月 
取 收 入 ， 所 谓 的 免费 不 过 是 

这 仅仅 是 针对 一 般 月 


系 有 偿 使 



































取 其 信息 与 进行 广告 的 行为 ， 但 仍 需要 通 





全 机 





il] 


HP. HAE 
用 云端 服务 ， 原 则 上 可 通过 与 云 服务 提供 
过 隐私 权 政 策 来 了 解 云 服 务 提供 


户 隐 私 ， 以 及 Facebook 的 
Beacon 服务 。 从 | 
日 者 ， 但 实际 上 在 使 用 的 过 程 ! 





一 个 蛋子 而 已 。 














上 述 例子 可 以 看 


上 述 行为 发 生 在 云端 企 





LH 
Ls 








HR 








Æ 
Hs 





使 用 者 针对 Beacon 服务 所 提出 
云端 服务 提供 商 打 着 免费 提 


BY 





最 后 也 因 隐 私 权 保护 团队 


出 侵权 控诉 ， 



































还 是 会 通过 广告 行为 从 使 用 者 喘 上 赚 





























业 用 户 又 该 如 何 呢 ? 





商 所 签订 的 3 








S$.2.2” 云 数据 隐私 保护 原则 


隐私 保护 策略 能 够 指导 
使 用 隐私 信息 的 政府 机 构 
形象 的 重要 保证 。 
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Ld 


Ca 


组 织 机 构 如 何 对 自 








契约 来 规范 云端 服务 提供 


的 隐私 进行 保护 ， 尤 其 是 对 一 些 需要 收 





或 金融 机 构 来 说 ， 





























bs 
商 获 
的 信息 安 








云端 企业 





























商 所 提供 











集 和 

















个 有 效 的 隐私 保护 策略 还 是 业务 连续 进行 和 正面 








1. 限制 收集 原则 











个 人 信息 关系 到 个 人 基本 人 权 的 保障 。 纵 使 基于 法 律 授权 的 公 权 力行 为 ， 也 应 受 法 律 上 


一 定 的 约束 。 因 此 ， 对 于 个 人 信息 
最 小 范围 内 进行 ， 即 所 谓 的 限制 收集 
具体 来 讲 ， 限 制 收集 原则 是 指 个 
通过 合法 途径 ， 在 合理 
集 对 象 应 有 界限 ， 收 集 方 法 亦 应 有 所 ] 

数据 收集 会 涉及 数据 所 有 权 的 
数据 所 有 权 不 被 侵犯 。 对 了 
供 商 获取 ， 并 有 权利 要 求 云 服务 提供 | 


目前 ， 个 人 数据 的 收集 方式 主要 是 通过 Cookie〈 一 种 能 够 让 网 站 服务 器 把 少量 数据 储存 













































































的 情形 下 让 数 ] 

















的 取得 和 收集 ， 必 须 以 合法 、 公 正 的 手段 ， 且 在 达成 目的 之 


原则 。 
人 数据 的 收集 应 该 受到 限制 ， 并 且 这 些 数据 的 获得 必须 
据 主 体 知晓 或 获得 其 同意 。 即 关于 个 人 信息 的 收集 ， 其 收 
SETA 











c 


























问题 ， 当 将 数据 迁移 到 云 计算 平台 时 ， 应 该 考虑 如 何 保证 
六 相关 的 隐私 数据 ， 数 据 所 有 者 有 权 了 解 哪些 个 人 数据 会 被 去 服务 提 




















商 回避 对 茶 些 敏感 数据 的 采集 。 
































到 客户 端的 硬盘 或 内 存 ， 或 从 客户 端的 硬盘 读 取 数据 的 一 种 技术 ) 和 Beacon《〈 使 用 低 功率 


























蓝牙 接 入 技术 将 信息 











供 商会 储存 用 户 的 语言 1 




















E 送 到 智能 手机 或 平板 电脑 上 的 一 项 技术 〉 等 技术 进行 。 例 如 ， 服 务 提 
册 好 设 定 ， 让 服务 系统 以 用 户 偏好 的 语言 显示 。 在 显示 个 人 化 广告 









































时 ， 不 会 将 Cookie 或 匿名 标识 符 与 敏感 类 别 ( 如 基于 种 族 、 宗 教 、 性 倾向 或 健康 状况 等 类 


别 ) 建立 联系 。 


服务 中 的 个 人 数据 ， 




















会 与 其 他 服务 提供 商 所 提供 的 服务 数据 合并 用 于 特定 目的 ， 如 























Google 会 将 用 户 账 户 的 数据 与 其 社 群 服务 的 Google+ 合 并 ， 让 使 用 者 能 够 更 方便 地 与 自己 认 





识 的 人 分 享 内 容 。 但 这 通常 





并 使 用 。 
2、 使 用 限制 原则 









































需要 获得 用 户 同 意 ， 和 否则 不 会 将 Cookie 数据 与 身份 识别 数据 合 








使 限制 原则 是 指 个 人 数据 在 收集 表明 的 目的 范围 以 外 不 得 披露 ， 或 向 他 人 提供 ， 除 非 











经 过 数据 主体 同意 或 有 法 律 的 强制 要 求 。 简 言 之 ， 使 用 应 局 限 在 收集 目的 范围 内 。 


























P 














对 数据 的 使 用 应 该 限定 在 收集 数据 时 所 表明 目的 范围 以 内 。 如 果 此 后 有 任何 不 符合 此 目 
的 的 使 用 ， 都 应 该 在 这 些 pr 表明 目的 的 改变 。 在 此 阶段 ， 用 户 需要 确认 个 人 数据 是 否 






























































只 用 于 机 构 内 部 、 是 否 与 第 三 方 共 续 














享 以 及 是 否 与 数据 收集 的 目标 一 致 等 情况 。 









































在 通常 情况 下 ， 云 服务 提供 商都 会 说 明 其 收集 到 的 用 户 数 据 主要 用 于 提供 、 维 持 、 保 护 
与 改善 服务 ， 以 及 为 用 户 提 供 个 性 化 


3. 安全 保证 原则 


安全 保护 原则 是 指 个 



































人 获取 、 使 用 、 修 改 或 透露 的 风险 。 














的 推荐 服务 等 。 





人 数据 应 该 得 到 合理 的 安全 保护 ， 防 止 产生 丢失 或 没有 获取 授权 的 





























云 服务 提 人 商 通 常会 在 隐私 权 政 策 中 说 明 其 保护 个 人 数据 所 使 用 的 信息 技术 ， 通 过 个 性 









































化 设 定 使 用 户 选择 想 要 的 使 用 模式 ， 














择 不 要 对 外 显示 个 人 数据 等 。 另 外 也 会 
使 用 者 的 服务 进行 加 密 或 提供 安全 浏 





























进行 隐私 权 的 设 定 ， 如 管理 广告 显示 、 停 用 cookie 或 选 
通过 一 些 技术 方式 来 进行 数据 的 保密 ， 如 通过 SSL 为 
览 的 功能 、 审 查 搜集 、 存 储 和 处 理 数据 的 做 法 ， 保 护 系 统 



























































不 致 发 生 未 经 授权 的 操作 。 仅 允 许 代表 服务 提供 商 处 理 个 人 数据 ， 且 需要 知悉 该 数据 的 员工 、 
承包 商 和 代理 人 存 取 。 相 关 人 员 均 须 遵 守 严 格 的 契约 保密 义务 ， 一 旦 未 遵守 义务 便 将 受到 惩戒 























或 解约 处 分 。 
4. 数据 保有 原则 





数据 保有 原则 是 指 




















个 人 数据 不 应 该 被 保留 超过 其 需要 的 时 间 ， 或 超过 由 法 规 要 求 的 时 
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间 。 数 据 应 在 保留 期 结束 时 以 安全 的 方式 被 销毁 。 


在 云 环境 下 ， 数 据 应 该 保留 多 长 时 间 、 什 么 时 间 应 该 被 销毁 等 问题 对 大 多 数 云 服务 提供 








商 来 
RERUM. 











S. 数据 销毁 原则 
残留 数据 很 容易 面临 非 故意 的 、 偶 然 的 数据 泄露 风险 。 但 云 服务 提供 商 对 残留 数据 的 关 


注 度 比较 低 。 
Tad. 5 
































保存 储 在 陈旧 或 要 报废 的 设备 上 的 





存在 一 定 的 挑战 。 不 过 随 着 大 数据 时 代 的 到 来 ， 必 然 会 出 台 相关 政策 明确 


另外 ， 当 陈旧 系统 被 取代 ， 或 者 当 存储 介质 准备 报废 时 ， 云 服务 提供 






























































有 效 方 





所 谓 数据 销毁 原则 是 指数 据 被 彻底 地 删除 且 不 可 





法 就 是 云 服务 商 要 遵循 数据 销毁 原则 。 












































中 的 数据 ， 而 且 确 
果 护 存储 在 云端 隐私 数据 的 方法 是 在 将 数据 外 包 之 前 进行 加 密 ， 那 么 云端 数据 的 
一 旦 用 户 可 以 安全 销毁 密 铀 ， 那 么 即使 


传统 的 
安全 多 

















保 此 数据 无 法 被 恢复 。 

















肖 毁 实际 上 就 转化 为 用 户 端 对 应 密 钥 的 安全 销毁 。 





MK. RU 























规定 数据 的 保 


商 必须 采取 
用 户 数据 是 不 可 恢复 的 。 目 前 ， 解 决 此 问题 的 











不 可 信 的 云 服务 器 仍然 保留 本 该 销毁 的 密 文 数据 ， 也 不 会 破坏 用 户 数据 的 隐私 。 另 外 ， 密 铀 的 
安全 销毁 可 以 在 云 服务 提供 商 不 参与 的 情况 下 进行 。 














6. 














数据 泄露 给 未 经 


运输 原则 
进行 数据 迁移 时 ， 数 据 机 密 性 和 完整 性 
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W] 





M 

















后 仍 保持 完整 。 
平 的 隐私 保护 的 








国家 或 服务 提供 商 的 云端 。 


7. 责任 原则 


责任 原则 是 指数 据 控制 者 应 该 负责 在 其 控 
该 组 织 遵 守 余 下 的 原则 。 云 计算 中 的 责任 原则 可 以 通过 附加 的 条 球 来 实现 ， 以 确 









































到 实施 ， 而 不 管 其 中 的 信息 处 理 的 司法 管辖 区 问题 。 





除法 律 男 有 规定 外 ， 企 业 如 将 个 人 数据 
业 承 担 遵守 法 案 原 则 的 合同 义务 。 另 % 








行 处 理 。 


5.3 


W, KREERTE 


玄 得 到 保证 。 首 先 应 当 采 用 加 密 算 法 ， 
授权 的 用 户 。 其 次 需要 在 传输 协议 中 增加 数据 的 完整 性 校 验 ， 以 保证 数据 迁移 
最 后 要 满足 数据 传输 的 合法 合 规 性 要 求 ， 即 数据 不 应 该 被 转移 到 不 提供 同等 水 























以 防止 


掉 下 的 个 人 数据 ， 并 应 指定 一 人 或 几 个 人 负责 





保 这 些 条 款 得 


























法 律 法 规 
隐私 保护 主要 是 通过 隐私 保护 技术 来 解决 ， 但 是 有 些 问题 必须 要 依靠 法 规 来 约束 中 。 比 


uA NU 
， 在 具体 实施 时 ， 用 户 有 权 将 个 人 数据 委托 给 第 三 方 进 
























































M 








是 ， 





议 对 解决 跨 境 云 数据 隐私 侵权 问题 具 
户 的 投入 ， 导 致 云 数据 隐私 保障 的 不 而 
国际 合作 应 当 是 解决 数据 隐私 侵权 的 3 
国际 法 律 文件 为 主 的 云 数 据 隐私 保护 框架 ， 在 全 球 范围 
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定性 。 


























要 途径 。 各 





民 多 数据 隐私 保护 规则 不 适合 云 数 据 的 跨 境 流动 。 虽 然 通 过 个 案 适 月 
定价 值 ， 但 却 增 加 了 云 服务 提供 商 的 运营 成 本 和 云 用 








他 云 数据 主 体 之 间 的 权 责 关系 。 























目前 ， 很 多 











区 和 组 织 都 十 分 重视 











国家 、 地 





私 需求 的 法 规 来 实施 用 户 个 人 隐私 的 保护 。 
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多 个 数据 中 心 之 间 进 行 数据 转移 时 必须 遵循 各 管辖 区 域 的 相关 规则 。 
目的 “点 对 点 ”传输 | 























保 接收 这 些 数据 的 企 


zo 














ES D SR EAT B ES RM 

















天 建立 以 




















统一 调整 云 服 务 提供 商 、 云 用 


户 与 其 














用 户 数据 的 隐私 保护 ， 并 积极 制订 符合 用 户 隐 


5.3.1 ”国际 法 律 法 规 


的 国 





际 公约 不 能 满足 所 有 国 





保障 云 数 据 隐私 的 国际 法 律 文件 和 国际 公约 是 解决 跨 境 法 律 争端 的 最 佳 选择 。 尽 管 众 多 
家 云 数 据 隐私 保护 的 全 部 需求 ， 但 是 国家 之 间 制 订 云 数据 隐私 流转 























众 























关系 的 双边 协定 是 云 数据 隐私 保护 的 国际 法 律 文件 体系 中 不 可 或 缺 的 组 成 部 分 5 。 


HH 


zy dnm 





AURI 


保护 。 
A 


AM 

这 两 大 体系 对 于 云 计算 环境 及 各 国 在 制订 个 人 数据 保护 的 规范 上 有 着 不 同 的 影响 。 
1. 欧盟 的 数据 保护 指令 
在 欧洲 ， 隐 私 被 视 为 一 项 基本 人 权 ， 与 人 喘 自由 密 不 可 分 。 二 战 结束 后 ， 许 多 欧洲 国家 
E. 比如， 德国 联邦 议院 1997 年 通过 的 一 项 与 隐私 有 关 的 法 律 是 《 信 
通信 服务 法 》。 这 一 法 律 包含 《通信 服务 数据 保护 法 》 用 来 处 理 电 信 业 所 使 用 的 个 人 数据 
英国 政府 在 1998 年 颁布 了 《数据 保护 法 》。 该 法 令 赋予 “数据 保护 委员 会 ”以 强大 的 权 
名 法 律 的 实施 。 该 法 律 还 禁止 不 经 个 人 允许 将 个 人 数据 用 于 直接 销售 。 
1981 年 ， 欧 盟 理 事 会 颁布 的 《个 人 数据 自动 化 处 理 保护 公约 》， 可 作为 欧洲 国家 在 制订 


都 制订 了 严格 的 隐私 法 得 


目前 ， 国 际 环境 下 ， 对 个 人 数 





主要 是 规范 在 欧盟 管辖 范围 内 流通 及 处 理 的 个 人 数据 ， 该 规范 为 欧洲 国家 与 加 拿 大 所 采用 














据 保护 的 法 规 大 致 可 以 分 成 两 大 体系 : 一 个 是 欧盟 指令 ， 























人 是 亚太 经 济 合作 组 织 的 隐私 权 保护 原则 ， 为 APEC 各 会 员 国 中 有 关 个 人 数据 保护 的 最 

















































































































































































































个 人 数据 保护 法 令 的 参考 。 到 20 世纪 90 年 代 ， 由 于 欧洲 各 国 在 个 人 数据 保护 方面 仍 缺 乏 一 


致 性 





， 加 上 各 国都 有 跨 境 传输 个 人 数据 的 需求 ， 但 是 在 取得 当事人 的 同意 和 接收 国 的 保护 措 






































施 方面 ， 要 求 的 程度 都 有 所 不 同 。 


S”) 


家 ， 也 就 等 同 于 采纳 了 各 
信息 技术 的 演进 ，2012 年 该 指令 已 进行 了 更 新 与 修改 ， 和 希望 对 欧盟 以 外 的 国家 也 可 提供 重 








的 契机 。 该 指令 在 1998 年 正式 生效 ， 对 欧盟 的 会 员 国 而 言 ， 只 要 是 遵守 此 指令 的 国 
国 的 个 人 数据 保护 法 ， 可 以 获得 跨 境 传输 数据 的 允许 和 信任 。 随 着 














因此 促成 了 欧盟 起 草 《 欧 盟 数 据 保护 指令 》( 简 称 “ 指 



































要 的 隐私 保护 数据 与 要 求 ， 该 指令 明确 赋予 个 人 参与 数据 处 理 的 权利 及 隐私 权 受 侵害 时 的 损 











及 监督 机 制 。 具体 来 讲 ， 该 指令 
1) 组 织 必须 告知 数据 主体 有 关 信息 收集 和 利用 的 目的 ， 告 知 如 何 联系 组 织 以 及 批 露 
的 第 三 方 类 型 。 

2) 组 织 必 须 允 许 数据 主体 选择 个 人 信息 是 否 可 用 于 除 初 始 收 集 目的 之 外 的 其 他 目的 。 对 
于 敏感 性 信息 ， 如 医疗 状况 、 种 族 起 源 和 政治 观点 等 信息 在 向 第 三 方 披露 之 前 ， 消 费 者 必须 有 








害 赔偿 请 求 权 。 
引 令 的 主要 内 容 包 括 一 般 条 球 、 


























个 人 数据 处 理 原 则 、 数 据 当事人 权利 、 数 据 控 管 人 责任 





Kit RU); 
























































特殊 的 选择 权 。 








3) 任何 组 织 在 处 到 


6) | 





























国家 传输 。 这 一 











个 人 数据 时 ， 必 须 采 取 合 理 的 步骤 来 确保 数据 的 安全 和 完整 性 。 

4) 数据 主体 有 权 获 得 他 们 的 个 人 信息 ， 并 有 权 对 其 进行 纠正 。 必 须 有 确保 遵守 指令 的 机 
制 ， 受 不 遵守 行为 影响 的 数据 主体 的 求助 以 及 不 遵守 指令 的 组 织 的 后 果 。 

5) 企业 和 政府 不 得 在 未 经 允许 的 情况 下 将 个 人 记录 用 于 初始 目的 之 外 的 其 他 任何 目的 。 
指令 也 要 求 建立 政府 数据 保护 机 构 ， 这 些 机 构 负 责 数据 库 的 注册 ， 有 时 在 特定 数据 处 
里 之 前 要 先 征 得 这 些 机 构 的 同意 。 

7) 欧盟 公民 的 个 人 数据 只 向 


了 II 


息 





















































































































































KH 15 国之 外 采用 这 些 法 律 或 倾向 于 提供 数据 充分 保护 的 
法 律 禁 上 一些 消费 者 数据 传 向 没有 采用 同样 严格 数据 保护 法 律 国家 的 企业 。 这 
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一 指令 尤其 阻止 欧盟 公民 的 数据 流向 美国 。 
































遵守 如 上 所 述 的 规定 并 不 一 定 意 味 肯 定 符合 欧盟 隐私 法 。 类 似 于 美国 的 联邦 或 州 的 司法 









































法 律 更 加 严格 。 
总 之 ，《 欧 盟 数据 保护 指令 》 在 隐私 权 保护 方面 无 疑 在 全 球 都 具有 示范 作用 。 
2， 亚 太 经 济 合作 组 织 隐私 框架 



















































































亚太 区 域 主要 经 济 咨 商 论坛 ， 希 望 借 
动 该 区 域 经 济 成 长 与 发 展 ， 成 立时 共有 12 个 创始 成 员 。 












































管辖 区 ， 欧 盟 成 员 国 必须 在 本 地 执行 这 些 法 律 。 每 个 州 起 草 了 自己 的 立法 ， 有 的 甚至 比 国 家 的 


亚太 经 济 合 作 组 织 (APEC) 是 在 1989 年 由 澳大利亚 前 总 理 Robert Hawke 所 倡议 成 立 的 
亚太 地 区 各 经 济 体 政府 相关 部 门 官员 的 对 话 与 协商 ， 带 














APEC 参考 经 济 合 作 暨 发 展 组 织 (OECD) 的 隐私 保护 及 个 人 数据 的 国际 流动 指导 方针 ， 于 














2004 年 制订 APEC 隐私 保护 框架 (APEC Privacy Framework)， 以 作为 提升 信息 隐私 保护 的 重要 工 
有 具 ， 并 确保 亚太 地 区 各 会 员 国 间 信 息 的 自由 流动 。 此 框架 则 在 推广 亚太 地 区 的 电子 商务 ， 与 































































































OECD 的 指导 方针 《〈 即 个 人 数据 保护 策略 ) 相符 ， 更 加 证 实 电 子 商 务 与 个 人 数据 保 














护 密 不 可 分 。 


APEC《 隐 私 权 保护 指导 纲领 》 是 以 个 人 数据 保护 为 重点 ， 给 出 十 大 原则 ， 分 别 为 9: QD 避免 伤 












































害 原则 ; @ 告知 当事人 原则 ，@) 限制 收集 原则 ; © 个 人 数据 利用 原则 ; @ 当事人 同意 原则 ; 


© 数据 完整 原则 ; CO 安全 维护 原则 ; 多 当事人 取得 及 更 正信 息 原则 ; @) 责任 原则 ，@ 效益 最 
大 化 原则 。 与 欧盟 指令 不 同 ， 这 些 原则 并 非 强制 性 的 ， 因 此 他 们 可 以 被 成 员 国 采纳 为 本 国法 律 的 























一 部 分 。 





























亚太 经 济 合作 组 织 隐私 保护 框架 通过 试点 为 首 的 区 域内 多 个 经 济 体 实现 。 该 试验 涉及 政 





府 和 私营 部 门 组 织 ， 并 应 为 区 域内 的 数据 传输 提供 了 一 致 的 方法 。 成 功 地 实施 该 框架 是 云 服务 














提供 商 跨越 边界 无 颖 运行 的 坚实 基础 。 





APEC 依循 国际 组 织 ISO/IEC JTC1 SC27 计划 ， 成 立 了 5 个 工作 小 组 研讨 隐私 权 保护 的 
相关 技术 及 标准 ， 其 工作 小 组 及 研究 重点 说 明 如 下 : 第 1 工作 小 组 研究 信息 安全 管理 系统 
(Information Security Management Systems), $ 2 工作 小 组 研究 信息 安全 机 制 (Security 
Mechanisms)， 第 3 工作 小 组 研究 信息 安全 评估 标准 (Security Evaluation Criteria), $ 4 T. 



























































作 小 组 研究 信息 安全 控制 要 项 及 服务 (Security Controls And Services)， 第 5 工作 小 组 研究 识 
别管 理 及 隐私 权 技 术 〈Identity Management And Privacy Technologies)， 其 中 第 5 个 工作 小 组 
主要 针对 隐私 权 的 框架 进行 研讨 ， 主 要 议题 包括 : CO 隐私 权 框 架 ， 个 人 信息 定义 、 公 开 可 






















































































利用 信息 、 应 用 ; © 隐私 权 参 考 架 构 ， 指 导 方 针 和 原理 ; © 实体 授权 保证 ; 
框架 ; © 脆弱 性 回报 ，@ 签字 加 密 。 


5.3.2 ”美国 法 律 法 规 


























(4) 存 取 管 理 








美国 将 宪法 、 联 邦和 各 州 的 法 规 以 及 行业 自律 规则 结合 起 来 ， 为 网 络 隐私 权 提 供 了 较为 








全 面 的 保护 。 























美国 政府 早 在 1974 年 颁布 的 《隐私 权 法 》 是 隐私 权 保护 的 基本 法 令 。 该 法 是 美国 保护 隐 
私 权 的 基本 法 律 ， 在 网 络 隐私 权 保 护 领域 中 有 重要 地 位 。 《隐私 权 法 》 指 出 : 除非 有 信息 所 有 



































人 的 书面 请 求 或 事先 做 出 的 书面 同意 ， 任 何 行政 机 关 都 不 能 通过 任何 通信 方式 向 任何 个 人 或 其 

















他 机 关 泄 露 存储 于 信息 系统 中 的 任何 个 人 记录 。 此 外 , 《隐私 权 法 》 还 赋予 个 人 权利 来 检查 他 
们 的 个 人 记录 、 查 看 这 些 记录 是 否 被 汇 露 以 及 请 求 更 正 或 修改 这 些 记录 ， 除 非 记录 已 经 被 删 





























ER. 《隐私 权 法 》 同 时 规定 了 行政 机 关 可 以 公开 个 人 记录 ， 无 须 本 人 同意 的 12 利 
130 











例外 。《 隐 私 





JU) XS 





的 不 正当 泄露 。 
到 目前 为 J 


政府 和 


























JA 
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护 的 法 得 
EAE 
解读 “美国 
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此 外 美 


障 的 标准 。 





BV mee 
规 有 《计算 机 诈 欺 及 滥用 法 》 
报告 》《 个 人 隐私 权 与 国 
费 者 数据 隐私 ;: 全 球 数 字 经 济 
究 及 教育 法 》 等 。 此 儿 
融 改 革 法 》《 有 线 通 信和 隐私 权 法 案 》《1 
伴随 大 数据 发 展 ， 美 国 已 经 
法 规 。2012 年 ， 美 国 提出 《网 络 数 据 隐私 法 案 》，1 
BBC Z6 H 


法 更 新 完善 。 
国 于 2001 年 10 
下 出 于 防 恐 怖 了 
顾客 的 相关 信息 ， 包 括 其 兴趣 及 个 人 数据 ， 并 减低 政 








吓 规 定 每 个 政府 机 关 必 须 建立 起 行政 的 和 物质 的 安全 保障 措施 ， 以 防 J 





E E 


类 型 


国 并 没有 一 部 综合 性 法 典 对 个 人 
的 隐私 和 安全 条 例 ， 已 足以 承担 起 保护 相应 个 人 
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家 信 ， 





言 乱 的 隐私 权 提 供 保 护 ， 但 是 联邦 和 外 


上 对 个 人 记录 





1 
比较 典型 法 





尼子 隐私 通信 法 》《 儿 童 在 线 隐 私 保护 法 》《 全 球 电子 商务 框架 
家 战略 》《 网 络 世 界 中 消 




















中 保护 隐私 及 促进 创新 的 框架 》《 网 络 安全 研究 及 发 
还 包括 一 系列 相关 条 例 ， 如 《信息 自 

































































剖 订 了 关于 大 数据 保护 ， 








村 别 是 针对 老 百 
目 导 公司 在 使 


NX ZH 


E 度 “大 数据 ” 


二 和 =r 
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展 法 》《 网 络 


法 》《 金 融 隐 私 权 法 案 》 
视 隐私 保护 法 案 》 《电话 用 户 保护 没 
FE 隐私 的 大 数据 保 
用 私人 信息 时 将 更 
AxB, Hy 





ER) S. 








beg 





隐私 法 案 与 国际 隐私 法 框架 ”以 及 “大 数据 对 隐私 法 的 启 


Zw ， 忆 





在 对 已 有 隐私 























通过 一 部 隐私 法 案 《 爱 国 
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THES. MAREA 
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E 某 些 情况 

















FE 义 以 及 9 度 考虑 ， 人 允许 美 





国家 安全 的 4 

















存 部 门 取得 数据 途径 的 要 求 ， 





总 之 ， 美 国 
以 人 为 中 心 的 隐私 权 保护 ， 


























再 到 以 数据 为 





心 的 隐私 权 保 护 。 











5.3.3 ”中 国法 律 法 规 


由 于 受到 传统 历史 文化 、 生 活 方式 以 及 经 济 发 展 水 平 的 影响 ， 我 国 衬 
隐私 保护 的 意识 不 强 ， 与 传统 发 达 
部 关于 隐私 权 保护 的 专门 法 律 ， 对 于 隐私 权 保护 缺乏 相关 的 执行 
的 方式 显然 是 不 周 


淡薄 、 




















性 操作 规范 ， 


密 的 。 


自 2003 年 起 ， 国 


目前 ， 我 国 


LA 
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国家 相 比 存在 较 大 差距 。 














仍然 没有 
只 能 借 





























助 司 法 解释 或 者 通过 保护 名 誉 权 的 方式 进行 维护 ， 这 村 























务 院 就 委托 有 关 专 家 开始 起 草 《 个 人 信息 保护 法 》 2005 8 

















已 经 完成 ， 并 提交 国务 院 审议 ， 司 动 了 保护 个 人 信息 的 立法 程序 。 


在 网 络 隐私 权 的 保护 问题 上 ， 























前 我 国 基本 | 























的 情形 目 


前 主要 集 ， 




















在 个 人 信息 的 收集 、 处 型 




















原 信 息 产 业 部 于 2000 年 11 




















H7 日 发 布 的 《互联 网 电子 公告 服务 管理 





规定 》 
































反 此 
f£. 
护 的 高 度 
高 )》， 























告 服务 提供 者 应 当 对 上 网 
规定 者 ， 
2012 4E, 2E 
KH. 2013 $ 
的 部 分 条 球 适 月 
境 中 隐私 权 保 护 问 题 。 

总 之 ， 从 我 
但 是 在 这 些 法 律 ! 














] 户 的 个 人 信息 保密 ， 未 经 | 
言 管理 机 构 责 令 改 正 ， 给 上 网 用 户 造成 损害 或 者 损失 的 ， 
人 大 常委 会 通过 《关于 加 强 网 络 信 ， 


工信部 发 布 的 《电信 和 互联 网 有 
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国 现行 的 法 律 来 看 ， 我 
HA OE SUIT A FI 









































国联 邦 政府 可 进入 公司 数据 库 收 集 雇员 及 

















降低 秘密 保 


关于 个 人 隐私 权 的 保护 经 过 了 3 个 阶段 ， 从 以 住宅 为 中 心 的 隐私 权 保护 ， 到 


众 的 法 律 意识 














FE 专家 建议 稿 


上 还 处 于 无 法 可 依 的 状况 。 网 络 侵犯 隐私 权 
E. 传输 和 利用 等 环节 中 。 涉 及 这 一 问题 的 只 有 
中 提 及 “电子 公 
上 网 用 户 同意 ， 不 得 向 他 人 污 
依法 承担 法 律 责 
息 保护 的 决定 》 表明 我 国 对 隐私 权 保 
昌 户 个 人 信息 保护 规定 (征求 意见 
隐私 保护 。 另 外 , 《侵权 责任 法 》 第 36 条 也 可 适用 于 云 计 算 环 








cap 


E > 





x5 








国 虽然 在 各 种 法 律 中 对 公民 的 隐私 权 做 了 上 其 体 规定 ， 
的 行为 侵犯 了 公民 的 个 人 数据 隐私 权 ， 同 时 ， 对 具体 的 
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侵权 构成 要 件 的 规定 比较 模糊 。 


5.3.4 ”法 律 法 规 与 技术 
需要 指出 的 是 ，Q@ 法 规 并 不 是 技术 ， 但 是 对 于 功能 的 影响 其 大， 制订 不 好 的 法 规 ， 将 造 


成 安全 上 无 法 避免 的 错误 ;@ 为 了 应 对 全 球 范围 内 对 个 人 数据 进行 深度 加 工 的 挑战 ， 有 些 国 





际 法 律 文人 
于 对 隐私 的 不 同 态度 ， 一 直 是 无 数 跨 司 法 管辖 


力量 来 源 。 


在 技术 和 法 和 


5.4 


在 云 计算 环境 ， 个 人 隐私 信息 难 








是 ， [H 










































































隐私 保护 技术 








对 恶意 攻击 者 的 强大 攻击 力 ， 个 人 隐私 信 ， 











保护 技术 的 开发 与 应 用 


5.4.1. 面向 数据 加 密 的 隐私 保护 
针对 云 计 算 技术 的 特点 ， 目 前 ， 云 服务 提供 商 通常 采用 密码 学 中 的 技术 来 保证 数据 安 
全 ， 常 用 技术 之 一 就 是 对 数据 进行 加 密 和 解密 。 密 码 技术 不 仅 服务 于 数据 的 加 密 和 解密 ， 也 是 








身份 认证 、 











访问 控制 和 数据 签名 等 多 利 

















E 免 遭 到 威胁 。 昌 然 云 服务 中 融入 了 隐私 保护 技术 ， 但 
































的 要 求 是 相互 矛盾 的 。 例 如 ， 符 合 民事 诉讼 的 美国 联邦 规则 可 以 违反 欧盟 指令 。 关 
区 的 法 律 纠纷 、 国 际 贸易 以 及 长 期 的 政治 争端 的 
































层面 上 ， 法 律 总 要 滞后 于 技术 的 发 展 ， 但 是 技术 的 发 展会 牵动 法 律 的 发 


展 ， 云 计算 中 法 律 上 的 风险 便 是 其 ! 








一 种 引领 着 法 律 进一步 完善 的 动力 。 
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上 仍旧 存在 涝 露 的 可 能 。 因 此 有 必要 加 强 隐 私 















































5.4.2 ”面向 数 据 失真 的 隐私 保护 
基于 数据 失真 的 技术 通过 添加 噪声 和 交换 等 技术 对 原始 数据 进行 扰动 处 理 ， 使 敏感 数 
据 失真 但 同时 保持 某 些 数据 或 数据 属性 不 变 ， 仍 然 可 以 保持 某 些 统计 方面 的 性 质 。 常 用 方 





法 如 下 1; 
(1) 数据 变换 法 中 通过 降低 原 数据 中 私有 




















安全 机 制 的 基础 。 









































信息 的 支持 度 或 置信 和 度 至 某 个 闵 值 来 实现 隐 















































私 数据 保护 。 在 实际 操作 中 往往 是 通过 删除 或 增加 数据 项 来 达到 此 目的 。 
(2) 凝聚 技术 中 


A. E 包 ji 























泄露 原始 数据 的 隐私 。 
G) 差分 隐私 加 
贡献 是 : O 定义 了 一 个 相当 严格 的 攻击 模型 ， 不 关心 攻击 者 拥有 多 少 背景 知识 ， 即 使 攻击 者 














将 原始 数据 分 类 ， 每 类 ， 





包含 个 数据 ， 然 后 生成 每 类 数据 的 统计 信 

















差分 隐私 是 微软 研究 院 在 












































均值 和 方差 等 。 这 样 所 有 扰动 后 的 数据 可 以 使 用 通用 的 重 构 算 法 进行 处 理 ， 同 时 不 会 


























2006 年 提出 的 一 种 新 隐私 保护 模型 。 其 主要 


























已 掌握 除 某 一 条 记录 之 外 的 所 有 记录 信息 ， 该 记录 的 隐私 也 无 法 被 披露 ; @ 对 隐私 保护 水 平 


给 出 了 严谨 的 定义 和 量化 评估 方法 。 由 于 差分 隐私 的 诸多 优势 ， 使 其 一 出 现 便 迅速 取代 传统 隐 


私 保护 模型 ， 并 引起 了 理论 计算 机 科学 、 数 据 库 、 


(4). 数据 干扰 法 让 


数据 干扰 法 后 ， 原 始 数 据 中 将 存在 一 定 的 干扰 数 ] 





也 不 会 完全 暴露 数据 的 


数据 干扰 法 是 目前 采用 最 多 的 方法 。 使 用 此 方法 进行 隐私 数据 保护 的 基本 步骤 是 : 首先 
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通过 加 入 噪声 数据 ， 使 数据 无 法 辨认 以 保护 真实 的 原始 数据 。 利 用 
据 ， 所 以 即便 菜 数据 项 被 链接 到 某 特 指 的 个 体 


数据 挖 据 和 机 器 学 习 等 多 个 领域 的 关注 。 






































真实 值 ， 因 此 不 会 泄露 私有 信息 。 

































































数据 发 送 方 需要 先 在 原始 数据 中 进行 关联 规则 挖掘 ; 
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长 区 分 为 隐秘 性 及 非 隐秘 性 数据 ; 
性 数据 样本 相关 的 原始 数据 内 容 ， 


























集 。 其 过 程 如 图 5-2 所 示 。 











隐秘 性 与 非 隐 
秘 性 数据 



































然后 由 专家 对 挖 据 结 果 进 行 鉴定 ， 将 结果 


接着 利用 干扰 技术 对 原始 数据 内 容 进 行 转换 ， 即 修改 与 隐秘 











借 此 将 隐秘 性 数 








数据 发 送 方 
数据 干扰 技术 。 比 如 : 


1502575 1, 把 1 




















据 加 以 隐藏 而 达到 保护 效果 ;最 后 再 将 转换 


后 的 数据 对 外 公开 。 数 据 接收 方 对 转换 后 的 数据 进行 关联 规则 挖掘 ， 仅 能 挖掘 出 非 隐秘 性 数据 


公开 数据 接收 方 


非 隐秘 性 数据 






变 为 0 


转换 后 数据 集 


图 5-2 ”数据 干扰 法 操作 示意 


5.4.3 “面向 限制 发 布 的 隐私 保护 





限制 发 布 是 指 有 选择 的 发 布 数据 或 者 发 布 精度 较 低 的 数据 以 实现 对 数据 隐私 的 保护 。 目 
前 的 研究 主要 集中 于 数据 匿名 化 ， 即 有 选择 地 发 布 敏感 数据 。 有 选择 地 发 布 敏感 数据 及 可 能 氢 
露 敏感 数据 的 信息 ， 但 保证 对 敏感 数据 及 隐私 的 披露 风险 在 可 容忍 范 围 内 。 

基于 限制 发 布 的 隐私 保护 技术 主要 包括 K-Anonymity、L-Diversity 和 工 Closeness。 

1998 年 卡 内 基 梅 隆 大 学 的 Sweeney 和 Samarati 在 PODS 国际 会 议 上 提出 了 K-Anonymity 
技术 保护 个 体 的 隐私 信息 并 给 出 了 实现 方法 65。 它 的 基本 思想 是 针对 隐私 保护 中 链接 攻击 所 


























































































































带 来 的 用 户 真 实 身份 信息 泄露 的 情况 ， 通 过 对 数据 的 匿名 化 来 打 乱 用 户 与 数据 组 之 间 的 映射 关 











系 从 而 实现 数据 的 隐私 保护 。 一 般 是 通过 抑制 和 泛 化 方法 实现 ， 使 得 数据 记录 分 成 多 个 至 少 含 
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区 分 开 来 。 因 此 在 这 K 组 数据 









































A K 条 数据 记录 的 等 价 组 ， 这 样 一 来 该 等 价 组 内 的 任意 一 条 数据 都 无 法 与 其 他 K-1 条 有 效 地 
， 用 户 的 隐私 得 到 有 效 的 保护 ， 其 身份 被 泄露 的 概率 将 不 大 





























T LIMK。 通 常情 况 下 ，K 的 取 值 越 大 ， 等 价 组 越 大 ， 从 而 用 户 泄露 隐私 的 概率 就 越 小 ， 隐 私 保 























护 的 力度 就 越 高 。 





K-Anonymity 技术 作为 数据 匿名 化 技术 的 代表 方法 ， 提 出 后 得 到 了 学 术 界 的 普遍 关注 ， 很 
多 研究 者 从 不 同 层面 上 发 展 该 技术 。2002 fE, Seweney 又 提出 了 K-Anonymity 隐私 保护 模 
































型 ， 同 年 ， 他 在 参考 文献 [23] 中 图 述 了 实现 K-Anonymity 技术 的 泛 化 和 隐匿 方法 。2004 年 ， 
Williams 等 人 证 明 最 佳 的 K-Anonymity 问题 为 NP 难 问题 针 。 随 后 ， 研 究 痢 相继 提出 许多 启发 





式 和 近似 算法 P]。 





























K-Anonymity 模型 虽然 在 一 定 程 度 保证 了 隐私 性 ， 但 是 依然 存在 很 多 无 法 适用 的 领域 ， 研 
究 者 们 有 针对 性 地 提出 了 许多 改进 模型 。 例 如 美国 康 奈 尔 大 学 的 Ashwin Machanavaj Jhala 等 
人 在 2006 年 发 现 了 K-Anonymity 的 缺陷 ， 即 没有 对 敏感 属性 做 任何 约束 ， 攻 击 者 可 以 利用 背 




















景 知识 攻击 、 再 识别 攻击 和 一 致 怕 





为 了 防止 一 致 性 攻击 ， 参 考 文献 [22] 提 出 了 新 的 隐私 保护 模型 一 一 L-Diversity 模型 。 其 主要 思 
的 弱点 ， 提 出 在 形成 的 每 一 组 等 价 类 中 ， 对 


想 束 是 针对 K-Anonymity 容易 受 




















FE 攻击 等 方法 来 而 








到 背景 知识 攻击 














认 敏 感 数据 与 个 人 的 关系 ， 导 至 隐私 洪 露 。 



































于 敏感 属性 至 少 有 工 个 不 同 的 取 值 。 因 此 ， 即 使 通过 背景 知识 攻击 得 知 某 用 户 属于 一 个 等 价 




















类 ， 获 得 用 户 敏感 属性 的 概率 也 不 会 大 于 1 全， 无 法 准确 确定 其 敏感 属性 的 值 ， 即 该 模型 能 防 
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止 因 茶 一 等 价 组 ， 











须 保证 等 价 引 

















内 敏感 属性 值 的 分 布 与 敏感 属性 值 在 匿名 化 表 中 的 总 体 分 布 的 差异 不 超过 7。 显 








所 有 或 大 部 分 记录 具有 相同 的 敏感 属性 值 时 造成 隐私 泄露 。 
参考 文献 [26] 提 出 的 T-Closeness 则 要 





求 发 布 的 数据 集 在 满足 K-Anonymity 的 同时 ， 还 必 
































然 ， 工 Closeness 在 L-Diversity 的 基础 上 ， 


的 全 局 分 布 。 


54.4. ”基于 同 态 加 密 的 隐私 保护 
在 云 计算 中 ， 数 据 注定 是 要 以 密 文 的 
全 手段 。 但 是 ， 如 果 数据 完全 是 以 密 文 形式 存储 在 云端 的 话 ， 那 么 云 也 就 相当 于 一 个 巨大 的 硬 























要 求 所 有 等 价 类 中 敏感 属性 的 分 布 尽量 接近 该 属性 
































形式 存放 在 云 中 ， 这 是 最 基本 也 是 最 重要 的 一 个 安 



















































































盘 ， 其 他 服务 由 于 密 文 的 限制 很 难得 到 使 用 。 比 如 ， 用 户 编写 一 个 程序 ， 要 在 云端 进行 编译 ， 






































如 果 上 传 的 是 加 密 的 代码 ， 则 编译 器 就 无 法 正确 编译 。 为 了 使 云端 可 以 对 加 密 数 据 进行 各 种 操 

















作 ， 必 须 使 





j 全 同 态 加 密 技 术 。 








5.4.5 ”隐私 保护 技术 比较 


前 面 对 目 前 的 隐私 保护 技术 研究 中 基 
限制 发 布 的 技术 等 最 具 代 表意 义 的 几 种 技术 进行 了 简单 介绍 。 这 几 种 技术 各 有 优 缺 点 ， 适 用 于 


不 同 应 用 场景 下 的 隐私 保护 处 理 。 
它们 之 间 的 一 个 简单 对 比 。 通 过 表 5-1 可 见 ， 这 几 种 隐私 保护 技术 中 ， 基 于 数 

























































































于 数据 失真 的 技术 、 基 于 数据 加 密 的 技术 以 及 基于 




























































































X 5-1 是 
据 加 密 的 保护 技术 在 通信 开销 上 的 表现 最 差 。 
表 5-1 隐私 保护 技术 比较 
比较 项 隐私 保护 程度 数据 损失 通信 开销 计算 开销 

限制 发 布 保护 技术 高 中 低 中 

基于 数据 失真 技术 中 高 低 低 

基于 数据 加 密 技术 高 低 m" m 
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BOR 云 服务 风险 评估 


安全 风险 一 直 存 在 于 云 服 务 中 。 如 何 评 价 云 服务 的 安全 风险 是 云 安 全 领域 面临 的 热点 问 
题 之 一 。 本 章 结合 云 服务 的 特点 和 安全 风险 评估 技术 ， 分 别 对 风险 概念 、 风 险 类 别 、 风 险 评测 
方法 及 风险 评估 等 方面 的 内 容 给 出 较 详 细 的 阐述 ， 为 读者 分 析 云 服务 中 可 能 存在 的 安全 风险 和 
评估 云 服务 的 安全 性 提供 参考 。 




























































































6.1 概述 


提供 云 计 算 服务 ， 除 了 经 济 、 技 术 和 管理 效益 ， 实 现 过 程 中 的 许多 风险 也 必须 考虑 
在 内 。 


6.1.1 风险 简介 

1. 风险 的 含义 

“风险 ”一 词 的 由 来 ， 最 为 普遍 的 一 种 说 法 是 ， 在 远古 时 期 ， 以 打 鱼 捕捞 为 生 的 渔民 们 ， 
每 次 出 海 前 都 要 祈祷 ， 祈 求 神灵 保佑 自己 能 够 平安 归来 。 在 长 期 的 捕捞 实践 中 ， 汐 民 们 深 深 地 
体会 到 “ 风 ” 给 他 们 带 来 的 无 法 预测 或 无 法 确定 的 危险 ， 他 们 认识 到 ， 在 出 海 捕捞 打 鱼 的 生活 
中 ,“ 风 ” 即 意味 着 “ 险 ” 因此 有 了 “风险 ”一 词 的 由 来 趾 。 

现代 意义 上 的 风险 一 词 ， 已 经 大 大 超越 了 “人 遇 到 危险 ”的 狭义 含义 。 可 以 说 ， 经 过 数 百 
多 的 演义 ， 风 险 一 词 越 来 越 被 概念 化 。 由 于 对 风险 一 词 解释 的 角度 不 同 ， 从 而 产生 了 风险 的 
不 同学 说 。 比 如 : 保险 学 者 Willet A. 认 为 风险 为 某 种 不 幸 是 发 生 与 否 之 不 确定 性 ，Snider H 
W. 认 为 风险 为 损失 之 不 确定 性 ， 美 国 经 济 学 者 Knight F. 认为 风险 为 可 测定 之 不 确定 性 ; 在 
可 靠 性 理论 中 ， 风 险 是 指 生命 或 财产 遭遇 损失 或 损伤 的 概率 ， 认 为 风险 是 可 测定 的 客观 概率 
的 大 小 。 

一 般 而 言 ， 可 以 将 风险 定义 为 在 某 一 特定 环境 下 ， 在 某 一 特定 时 间 段 内 ， 某 种 损失 发 生 
的 可 能 性 。 换 言 之 ， 风 险 是 在 某 一 个 特定 时 间 段 里 ， 人 们 所 期 望 达到 的 目标 与 实际 出 现 的 结果 
之 间 所 产生 的 距离 。 

总 之 ， 风 险 有 两 种 含义 。 一 种 含义 是 强调 风险 表现 为 不 确定 性 ， 另 一 种 含义 则 强调 风险 
表现 为 损失 的 不 确定 性 口 。 

2. 风险 的 特征 

风险 是 由 风险 因素 、 风 险 事故 和 风险 损失 等 要 素 组 成 。 其 主要 特征 如 下 叫 : 

(1) 客观 性 ”风险 的 存在 取决 于 决定 风险 的 各 种 因素 的 存在 ， 风 险 因素 又 是 多 种 多 样 
的 ， 不 依赖 于 人 的 意志 和 愿望 而 转移 。 

风险 的 客观 性 要 求人 们 要 充分 认识 风险 ,采取 相应 的 措施 应 对 风险 ， 尽 可 能 地 降低 风险 
事故 发 生 的 概率 ， 减 少 损 失 程度 。 

(2) 不 确定 性 ”风险 是 客观 的 、 普 遍 的 ， 但 就 某 一 具体 风险 而 言 ， 其 发 生 是 不 确定 的 。 
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1 于 风险 的 不 确定 性 ， 当 其 突 发 时 ， 人 们 常常 不 知 所 措 而 加 剧 风险 的 破坏 性 。 

风险 的 这 一 特性 要 求 加 强风 险 预 警 和 风险 防范 措施 ， 建 立 风险 预警 系统 和 防范 机 制 ， 完 
善 风险 管理 系统 。 

(3) 可 变性 ”风险 是 不 断 变化 的 ， 有 量 的 增 减 ， 有 质 的 改变 ， 还 有 
险 的 产生 。 这 就 要 求实 施 动态 的 风险 管理 。 

(4) 可 预测 性 ”单一 风险 的 发 生 虽 然 具 有 不 确定 性 ， 但 对 总 体 风险 而 言 ， 风 险 事故 的 发 
生 是 可 预测 的 ， 即 可 以 运用 概率 论 和 大 数 法 则 等 方法 对 风险 事故 的 发 生 进行 统计 、 分 析 和 挖 
掘 ， 以 研究 风险 之 规律 性 。 

(50 相对 性 ”风险 承受 能 力 受到 组 织 规模 及 收益 大 小 等 因素 的 影响 。 收 益 越 大 ， 愿 意 承 
受 的 风险 也 越 大 ， 组 织 规模 和 实力 越 大 ， 对 风险 的 防范 愿望 也 越 强烈 。 

(6) 无 形 性 ”风险 无 法 被 精确 地 表示 ， 这 种 无 形 性 增加 了 认识 和 把 握 风险 的 难度 。 因 此 只 
有 掌握 了 风险 管理 的 相关 理论 、 系 统 分 析 风 险 的 内 外 因素 、 恰 当 运 用 技术 和 管理 方法 ， 才 能 有 
效 管理 风险 。 

3. 术语 与 定义 
通常 ， 风 险 管 理 过 程 中 会 牵涉 到 很 多 要 素 ， 主 要 包括 如 下 : 

(1) 资产 〈Asset) 对 组 织 而 言 ， 具 有 价值 的 任何 事物 。 它 是 安全 策略 的 保护 对 象 。 对 资 
产 的 评估 要 从 价值 、 重 要 性 或 敏感 度 等 方面 来 考虑 。 

在 云 服务 中 ， 资 产 是 指 云 服 务 提 供 商 的 包括 服务 器 、 网 络 等 物理 实体 和 服务 等 非 物理 实 
体 在 内 的 一 切 资 源 。 

(2) 威胁 (Threat〉 可 能 对 系统 、 组 织 或 资产 造成 损害 的 潜在 攻击 或 风险 事件 。 威 胁 可 以 
通过 威胁 主体 、 资 源 、 动 机 和 途径 等 多 种 属性 来 刻画 。 比 如 自然 灾害 可 能 威胁 到 信息 资产 的 可 
性 及 完整 性 。 人 为 因素 如 非法 存 取 数据 、 偷 窟 及 算 改 数据 等 ， 可 能 威胁 到 信息 资产 的 可 用 性 
及 机 密 性 。 

在 云 服 务 中 ， 威 胁 是 指 能 够 引起 云 服 务 商 服务 系统 运行 质量 下 降 或 者 终止 的 因素 。 例 如 黑 
客 入 侵 事 件 就 是 一 个 威胁 。 

(3) 脆弱 性 (Vulnerability〉 脆弱 性 也 称 为 漏洞 或 弱点 ， 是 指 可 能 会 被 威胁 利用 对 资产 
造成 损害 的 薄弱 环节 或 瑕 疫 。 脆 弱 性 本 身 并 不 会 造成 伤害 。 但 如 果 没 有 妥善 管理 或 处 理 ， 
或 将 促使 威胁 形成 。 例 如 软件 系统 漏洞 ， 如 果 不 及 时 打 补 丁 ， 则 可 能 会 导致 系统 出 现 严重 
的 后 果 。 

在 云 服务 中 ， 脆 弱 性 是 指 能 被 威胁 利用 并 造成 服务 资产 性 能 下 降 或 者 损坏 的 因素 。 例 如 
操作 系统 的 漏洞 可 以 被 偷偷 放 进 木马 程序 。 

(4) 风险 (Risk) 风险 是 指 特定 威胁 利用 资产 的 弱点 给 资产 带 来 损害 的 潜在 可 能 性 。 
险 是 威胁 事件 发 生 的 可 能 性 与 影响 综合 作用 的 结果 。 比 如 黑客 入 侵 并 偷 走 数 据 ， 造 成 商家 资产 
受 影 响 。 这 整 件 事情 就 称 为 一 个 风险 。 

(5) 可 能 性 〈Likelihood) 对 威胁 事件 发 生 的 概率 (Probability〉 或 频 度 (Frequency) 的 
定性 描述 。 

(6) 影响 (Impact) 影响 也 称 为 后 果 〈Consequence)， 是 指 意外 事件 发 生 时 给 组 织带 来 
的 直接 或 间接 的 损失 或 伤害 。 例 如 受到 黑客 入 侵 傻 取 数 据 后 商家 所 损失 的 资产 。 

CI) 安全 措施 〈Safeguard) 安全 措施 也 称 作 控制 措施 (Control) 或 对 策 (Countermeasure)， 
是 指 通 过 防范 威胁 、 减 少 脆弱 性 以 及 限制 意外 事件 带 来 影响 等 途径 来 消减 风险 的 机 制 、 方 法 和 
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日 风险 的 消失 和 新 风 
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普 施 的 总 称 。 


(8) 残留 风险 (Residual Risk) 
(9) 资产 价值 CAsset Value) 





资产 的 属性 ， 也 是 进行 资产 识别 的 主要 内 容 。 


(100 安全 需求 (Security Requirement) 为 保证 组 织 业 务 战略 的 


面 提出 的 要 求 。 


QD zx 























F (Security Event) 威胁 利 





残留 风险 所 产生 的 危害 情况 。 
4， 风 险要 素 关 系 图 


风险 评估 就 是 要 识别 资产 相关 要 素 的 关系 ， 从 而 判断 资产 呈 








各 要 素 的 关系 如 图 6-1 所 示 。 























Tif ste" 





采取 安全 措施 后 ， 仍 然 可 能 存在 的 风险 。 
资产 价值 是 指 资产 的 重要 程度 或 敏感 程度 。 资 产 价值 是 



































图 6-1 风险 要 素 之 间 的 关系 





FE 常 运作 而 在 安全 措施 方 























的 危害 情况 ， 或 由 于 某 种 诱因 导致 





临 的 风险 大 小 。 风 险 评估 中 


从 图 6-1 可 以 看 出 ， 威 胁 利 用 弱点 对 信息 资产 造成 伤害 ， 由 此 导致 风险 。 正 是 因为 风险 
































的 存在 ， 才 有 了 安全 需求 。 为 了 安全 需求 ， 必 须 采 取 安 全 措施 ， 以 防范 威胁 并 减少 风险 。 风 险 


管理 的 整个 过 程 

















就 是 在 这 些 要素 间 相互 制约 和 相互 作 月 
5. 风险 管 理 























风险 管理 作为 一 种 经 营 和 管 
把 所 有 鸡蛋 都 放 在 一 个 篮子 里 ” 




















里 的 理念 ， 
























































目的 关系 中 得 以 


的 谚语 。 现 代 意 义 上 的 风险 管理 
期 ， 如 法 约 尔 的 安全 生产 思想 、 马 歇 尔 的 风险 分 担 管理 观点 等 。 但 是 风险 管理 作为 一 门 学 科 





展开 的 。 





有 悠久 的 历史 。 比 如 西方 儿 十 年 前 就 有 “不 要 
思想 出 现在 20 世纪 前 半 

















得 到 系统 的 发 展 则 是 开始 于 20 世纪 中 叶 。 风 险 管理 真正 作为 一 门 学 科 的 出 现 ， 是 以 Mehr 和 


Hedges 的 《企业 风险 管理 》 C.A. Williams 和 Richard M.Heins 《风险 管理 


标志 的 。 




















Hs 


果 险 》 的 发 表 为 





关于 风险 管理 的 定义 很 多 。Williams 和 Heins 认为 ,“ 风 险 管理 是 通过 对 风险 的 识 








别 、 计 算 和 控 和 





所 做 的 努力 ”。 





归结 起 来 ， 风 险 管 理 
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以 最 小 的 成 本 使 风险 所 致 的 损失 达到 最 低 程度 的 管理 
C.Cristy 认为 ,“ 风 险 管理 是 企业 或 组 织 为 控 
































的 定义 是 : 风险 管理 是 管理 者 通过 风险 总 
手段 ， 以 最 小 的 成 本 ， 获 得 最 大 安全 效益 的 动态 过 程 。 


通 























F 估 ， 选 择 相应 的 风险 控 














NEU, 


James 





由 偶然 损失 的 风险 ， 以 保全 所 得 能 力 和 资产 





M 4— 








谷地 讲 ， 风 险 管理 








LE 就 是 识别 风险 、 训 





价 风险 、 采 取 措 施 预防 风险 和 将 风险 减 小 到 一 个 可 以 接受 的 程度 。 





实施 风险 管理 的 目的 在 
定 信息 系统 的 安全 等 级 划 
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T n SORA X 





I 现实 的 危险 ， 以 及 可 能 出 现 的 各 种 隐患 











分 ， 明 确 需要 安 


A 


保 


密 的 习 





























和 总 体 方案 ， 采 取 目 标明 确 、 合 


的 安全 。 


风险 管理 主要 包 折 








DZ 
E E 





口 














(1) 风险 识别 


对 尚未 发 生 的 潜在 风险 以 及 客观 存在 
主要 内 容 包 括 识别 引起 风险 的 





如 何 。 





EA 


[m] 


的 管理 和 








点 防范 部 位 ， 提 出 安 








, 


全 保护 管理 

















技术 的 综合 性 措施 ， 从 而 多 








E fei IR ER 

















5 风险 识别 、 风 险 分 析 、 风 险 评价 和 风险 控制 一 系列 过 程 王 

















风险 识别 是 指 风险 























风险 识别 主要 方法 有 
形式 将 大 的 风险 分 解 成 各 种 小 的 风险 ; @@ 情 景 分 析 法 ， 通 过 有 关 数 字 、 
的 某 个 状态 或 菜 种 情况 进行 详细 的 描绘 和 分 析 ， 从 而 识别 引起 风险 的 关键 因 

















种 风险 识别 方法 。 











风险 识别 包括 识别 内 在 


























好 能 够 提供 哪些 云 服 务 。 显 然 ， 为 各 种 行 








Ei 
=j 


的 各 种 风险 进行 系统 归 类 和 全 面 识别 。 风 险 识别 的 
素 、 这 些 风 险 可 能 导致 的 后 果 





因素 有 哪些 、 什 么 是 主要 因 





业 的 用 户 提供 
(2) 风险 分 析 风险 分 析 是 指 用 于 估计 威胁 发 生 


管理 人 员 在 收集 资料 和 调查 研究 之 后 ， 运 用 各 种 方法 

















o 




















: (D 分 解法 ， 即 将 大 系统 分 解 成 小 系统 ，@ 故 障 树 法 ， 利 用 图 解 的 























风险 及 外 在 风险 。 比 如 ， 云 服务 供应 商 必须 识别 风险 以 确 
云 服务 所 带 来 的 风险 可 能 会 
| 于 系统 易于 受到 攻 




















的 可 能 性 以 及 

















匀 表 和 曲线 等 ， 对 未 来 
素 及 影响 程度 的 一 


£37, r3 Ed, 


定 它 最 
过 高 。 


击 的 














脆弱 性 而 引起 的 潜在 损失 的 步骤。 根据 损失 程度 的 不 同 ， 可 以 选择 不 同 的 控制 方法 或 安全 防 
护 ， 以 提供 必要 的 安全 级 别 的 保护 ， 并 将 风险 降低 到 可 接受 的 程度 。 








风险 分 析 方 法 一 般 采 用 划分 等 级 
然后 根据 不 同 的 级 别 采 用 不 同 的 处 理 方法 。 危 





























的 。 人 危险 的 可 能 





(3) 风险 评估 
失 的 程度 ， 结 合 其 他 

















随 着 男 一 些 事件 的 发 生 和 发 展 ， 














因素 进行 全 面 考 虑 ， 











的 办 法 ， 








可 分 为 高 发 、 可 能 发 生 和 不 可 能 发 生 三 类 。 
风险 评估 是 指 在 风险 识别 和 风险 分 析 的 基础 上 ， 对 风险 发 生 | 
评估 发 生 风险 的 可 能 ' 

常用 的 风险 评估 的 方法 有 : (D 大 数 定律 ， 只 要 被 观察 的 风险 事 人 
以 估计 出 损失 发 生 的 概率 和 损失 的 影响 程度 ，@ 统 计 





险 的 严重 性 一 般 可 分 为 灾 》 














即 按 危 险 的 严重 性 和 危险 的 可 能 性 进行 定 级 ， 


























性 及 危害 程度 。 


















































FER. PERME 





的 概率 、 损 





足够 多 ， 大 数 定律 就 可 
扬 原 理 ， 一 个 事件 的 发 生 和 发 展 通常 伴 
因此 可 以 利用 事件 间 的 这 种 关系 ， 从 某 些 事 们 
推断 另 一 些 事件 的 发 生 和 发 展 ，@) 惯 性 原理 ， 事 物 的 发 展 具有 一 定 的 延续 性 ， 惯 性 定理 就 是 不 





F 的 发 生 和 发 展 来 




















用 过 去 发 生 的 风险 和 损失 来 预测 未 来 可 能 的 风险 和 损失 。 


(4) 风险 控制 





JA, 








































































































险 控 制 是 指 利用 技术 手段 设法 避 开 或 减 小 损失 发 生 的 可 能 性 及 损失 程 





中 











































































































































































































度 。 降 低 风 险 的 主要 举措 有 : 承担 风险 ， 接 受 潜在 的 风险 ， 包 风险 规避 ， 经 由 消除 引起 风险 
的 原因 或 结果 以 降低 风险 ;多 风险 限制 ， 通 过 执行 有 效 的 风险 控制 方法 减少 威胁 ， 以 及 利用 弱 
点 所 造成 的 负面 冲击 ;外 研究 与 确认 ， 降 低 风险 的 损失 可 经 由 确认 弱点 及 研究 控制 方法 进行 弱 
点 矫正 ，@@ 风 险 转 移 ， 可 经 由 其 他 选择 方式 进行 损失 补偿 ， 如 购买 保险 。 

在 云 计算 模式 中 ， 这 是 一 个 需要 云 用 户 和 服务 供应 商 共 同 分 担 的 责任 ， 因 此 他 们 双方 应 
具有 互补 的 风险 管理 程序 。 为 云 计 算 供应 商 的 应 用 程序 控制 设 定 期 望 是 云 用 户 的 责任 。 而 作为 
云 服务 供应 商 ， 他 们 应 当 根 据 用 户 的 期 望 来 确保 控制 措施 的 实施 与 维护 ， 并 为 服务 等 级 协议 和 
合 规 性 需求 控制 提供 认证 。 

风险 管理 的 详细 流程 如 图 6-2 所 示 。 
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6.1.2 ”信息 安全 风险 


选取 安全 措施 

















计划 保证 措施 












符合 风险 
控制 目标 ? 








图 6-2 ”风险 管理 流程 














1， 信 息 安 全 风险 评估 
信息 安全 风险 评估 是 指 依据 有 关 信息 安全 技术 标准 和 准则 ， 对 信息 系统 及 由 其 处 理 、 传 


输 和 存储 的 信息 机 密 性 、 






































完整 性 和 可 用 性 等 安全 属性 进行 分 析 和 评价 的 过 程 中 。 








信息 安全 风险 评估 的 目的 是 了 解 当前 和 未 来 的 潜在 风险 ， 评 估 风 险 可 能 带 来 的 安全 威胁 
程度 ， 确 定安 全 策略 、 建 立 和 安全 运行 信息 系统 。 




















与 一 般 的 项 目 风险 和 














昌 比 ， 信 息 安 全 风险 具有 以 下 特征 外 
































1) 客观 性 和 不 确定 性 。 信 息 安 全 风险 客观 存在 于 信息 系统 的 各 个 层次 和 生命 周期 的 各 个 














阶段 ， 并 随 着 各 种 不 确定 




















因素 的 不 断 变化 而 呈现 不 确定 性 














2) 多 样 性 。 信 息 安 全 风险 包括 技术 风险 、 管 理 风险 和 环境 风险 等 。 
3) 可 变性 。 信 息 安全 风险 在 其 生命 周期 内 动态 变化 ， 同 时 在 信息 系统 生命 周期 的 不 同 阶 





见 出 不 同 的 风险 。 





2. 风险 分 析 方 法 




































































4) 可 预测 性 。 风 险 虽 然 呈 现 不 确定 性 ， 但 可 用 各 种 定性 和 定量 方法 对 风险 进行 预测 











风险 产生 与 发 生 的 原因 均 会 依 时 间 与 环境 的 不 同 而 有 所 不 同 ， 所 以 利用 风险 分 析 方 法 不 
断 地 对 风险 进行 评估 是 风险 管理 中 不 可 缺少 的 一 环 。 评 估 或 排列 风险 优先 级 的 方法 ， 大 致 可 分 








为 定性 风险 分 析 、 定 量 风险 分 析 或 者 是 两 者 的 组 合 〈 即 混合 分 析 )。 





(1) 定性 风险 分 析 



































定性 分 析 方 法 主要 依靠 专家 的 知识 与 经 验 、 被 评估 对 象 的 相关 记录 

















以 及 走访 调查 等 方式 ， 仔 细 观 察 、 分 析 与 描述 风险 发 生 的 情形 ， 再 根据 不 同 的 风险 概率 、 威 胁 
的 严重 性 及 资产 的 敏感 性 情境 进行 分 析 。 显 然 ， 定 性 风险 分 析 是 利用 严谨 的 程序 作为 评估 资产 
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价值 及 威胁 的 可 能 | 


十 


:， 再 以 专家 的 

















评价 标准 ， 让 专家 判断 可 能 产生 的 











定性 分 析 方 法 有 很 多 。 典 型 的 








知识 与 经 验 描 述 进行 风险 分 类 ， 
性 分 析 方 法 有 : 中 主观 分 析 法 ， 








iz 


AC 


TA US JEU 






































出 整体 风险 水 平 ， 最 后 再 与 
因 的 原则 ， 将 风险 形成 的 原因 
的 因果 关系 ， 即 在 前 期 预测 和 识别 

















总 





























定性 分 析 方 法 
风险 程度 大 小 进行 




















值 ， 进 而 通过 数学 模式 计算 ， 得 出 
时 ， 需 要 遵循 如 下 六 个 步 又 : 
































步骤 1: 资产 鉴定 ， 包 含 便 件 、 








步骤 2: 决定 弱点 ， 通 过 调 

















风险 评估 基准 进行 比 


险 产 生 的 路 径 ， 计 算 风 险 发 生 的 概率 ， 并 提 
的 优点 在 于 给 予 具 有 不 确定 4 

















BNT: Oih 











体 到 部 分 按 树 形 逐 级 细 化 ， 分 析 项 目 






































子 其 权重 ， 然 后 把 全 部 


如 高 度 、 中 度 及 低 度 等 。 














任 








凭借 专家 的 经 验 和 根据 
风险 的 权 值 加 起 来 计算 
if 法 ， 主 要 遵循 从 结果 找 原 
风险 及 其 产生 原 











因 之 间 








各 种 潜在 风险 因 





素 的 基础 上 ， 运 


DEt 


理 的 方法 ， 沿 着 风 


























各 种 控制 风险 因 








EN 


ES 


素 的 方案 。 



































i3 

















事件 发 生 的 概率 或 可 





软件 、 数 据 、 人 员 、 文 件 与 外 





























步骤 3: 估计 弱点 会 被 利用 的 






































3)， 估 算出 整个 预期 损失 值 。 





步骤 5: 选择 可 用 的 风险 控制 机 制 来 降低 弱点 被 利用 的 可 能 性 ， 





成 本 是 否 符合 效益 。 
又 6: 采用 
用 的 
策 树 来 求 取 净 现 值 的 期 望 值 大 于 或 























dk WR 



































主观 决定 





可 能 性 ， 





的 风险 一 个 衡量 准则 ， 使 之 能 够 较 方 便 地 对 
非 序 。 其 缺点 是 主观 判断 ， 对 于 风险 级 别 的 区 分 无 法 做 到 一 致 性 的 界定 。 
(2) 定量 风险 分 析 “定量 分 析 方 法 是 对 构成 风险 的 各 个 要 素 和 潜在 损失 的 水 平 由 




















以 数 














能 造成 的 损失 。 当 要 进行 风险 定量 分 析 





图 设备 的 鉴定 。 

查 问卷 的 方式 判定 企业 内 所 有 可 能 的 弱点 来 源 。 

步骤 2 所 获取 弱点 会 被 利用 的 可 能 性 。 
步骤 4: 通过 简单 的 数学 计算 ， 将 资产 价值 “步骤 1) 乘 以 弱点 可 能 被 利 




















的 概率 〈 步 又 











新 的 安全 控制 机 制 ， 重 新 计算 新 的 控制 机 制 可 节省 
定量 评估 方法 有 : (决策 树 法 ， 在 已 知 各 种 情况 发 和 9 

















等 于 零 的 概率 ， 以 此 评价 项 目 


























综合 评价 法 ， 对 一 些 不 易 定量 、 边 
综合 评价 ，@ 层 次 分 析 方 法 ， 把 要 
个 大 系统 ， 这 些 因素 根据 彼此 之 间 
对 各 个 因素 层 进 行 排序 ， 最 后 通过 









































定量 评估 方法 的 优点 是 用 直观 的 数据 来 表述 评估 





























的 采 究 结 果 更 加 科学 





J, "EMEA 











(3) 混合 分 析 “定量 和 定性 的 分 析 方 法 各 有 其 人 


界 不 清 的 














对 排序 结果 的 分 析 来 辅助 决策 。 














和 严密 。 

















放 评 估 每 一 项 控制 机 制 的 


的 损失 金额 。 
E 概 率 的 基础 
风险 并 判断 
因素 进行 量化 处 理 ， 并 应 用 模糊 关系 合成 原理 进行 
决策 的 问题 看 成 是 由 很 多 相互 关联 和 相互 制约 
的 隶属 关系 可 以 组 合成 若干 个 层次 ， 再 利用 相关 的 数学 方法 





上 ， 通 过 构成 决 
可 行 性 ， 包 模糊 




















因素 构成 的 一 














的 结果 ， 而 且 比较 客观 。 定 量 分 析 方 法 


























的 过 程 ， 涉 及 多 个 因 


问题 。 


素 和 多 个 














EQ 
zH, 





有 不 确 























在 实际 评估 中 ， 有 
地 使 用 定性 或 定量 方法 ， 对 风险 进 
风险 进行 评估 。 
3. 信息 安全 风险 评估 方法 









































当前 存在 很 多 风险 评估 的 方法 ， 这 些 方 法 遵循 了 基本 的 


些 要 素 的 量化 很 容易 ， 而 有 些 却 是 很 





EC 缺点 ， 而 信息 安全 风险 评估 是 一 个 
定性 ， 即 它 是 一 个 多 约束 条 件 下 的 多 


困难 甚至 是 不 可 能 的 。 妇 























行 有 效 评估 则 比较 轩 








XE. px 
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属性 决策 











LR HAE 





此 通常 需要 将 两 种 方法 相 结合 对 























段 和 风险 的 计算 方面 各 有 不 同 。 下 








在 给 出 两 种 典型 的 风险 计算 方法 局。 























CD 风险 和 矩阵 测量 法 ”使 用 出 
赋值 后 ， 分 别 建立 资产 价值 、 威 胁 
矩阵 





















































确定 不 同 的 风险 。 风 险 和 矩阵 会 随 着 资产 








方法 需要 首先 确定 资产 、 
等 级 和 脆弱 4 























风险 评估 


流程 




















， 但 在 具体 实施 手 


威胁 和 脆弱 性 的 赋值 。 完 成 这 些 
生 等 级 的 对 应 矩阵 。 最 后 根据 不 同 资产 的 赋值 从 
值 的 增加 、 威 胁 等 级 的 增加 和 脆弱 性 等 级 的 增加 
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而 扩大 。 








表 6-1 所 示 为 


个 资产 风险 判别 外 
































表 6-1 资产 风险 判别 和 矩阵 
威胁 级 别 
0 0 2 1 2 3 2 3 4 
1 1 2 3 2 3 4 3 4 5 
2 2 3 4 3 4 5 4 5 6 
US 3 3 4 5 4 5 6 5 6 7 
4 4 5 6 5 6 7 6 7 8 

















对 于 每 一 种 资产 的 风险 ， 都 将 考虑 资产 值 、 威 胁 级 别 和 脆弱 
为 “3” 威胁 级 别 为 “高 ” 脆弱 
(2 威胁 分 级 计算 法 









































级 别 。 例 如 ， 如 果 资 产值 
FE 级 别 为 “ 低 ” AR 6-1 可 知 风 险 值 为 “5”。 
这 种 方法 是 通过 综合 考虑 威胁 、 威 胁 对 资产 产生 的 影响 以 及 威胁 
































发 生 的 可 能 性 来 确定 风险 。 使 / 
列表 ;让 系统 所 有 者 去 选择 相应 的 资产 威胁 ， 或 由 
然后 评价 威胁 发 生 的 可 能 性 ， 最 后 确 
后， 计算 风险 值 。 风 险 值 的 计算 方法 可 以 








AU 
胁 发 生 的 可 能 性 之 


Ek 








mod 











这 种 方法 时 ， 





















































之 和 。 具 体 算法 由 月 
例如 ， 将 威胁 的 
述 两 值 相 乘 ， 则 表 6-2 所 示 为 具体 计 


表 6-2 威胁 分 级 计算 法 
资产 ) fi 





























资产 威胁 








RV 
E 





和 户 来 定 ， 只 要 满足 是 增 函 数 即 可 。 
啊 值 和 威胁 发 生 # 






















































































能 性 都 确定 为 5 个 等 级 。 假 设 风 险 的 测量 对 





HE 


























E 要 识别 威胁 。 识 别 威胁 的 方法 是 : 准备 威胁 
团队 的 人 员 识 别 相关 的 威胁 ， 进 行 分 析 
上 定 威胁 的 影响 值 和 威 
性 之 积 ， 也 可 以 是 








pur 








pur 


vje 





某 个 资产 ET 











pur 


4. 信息 资产 分 级 及 风险 评估 


ii 
1 
威胁 2 
3 
4 
5 














Az CA — G2 N 4 


— 





信息 安全 主要 是 指 信 息 的 机 密 性 、 完 整 性 和 可 月 
HEU BUE. side 
F 估 方法 通常 采用 

















性 的 角度 分 析 如 下 : 








1) 机 密 性 (C): J 
20 完整 性 (1)， 资 产 上 





业务 终止 。 


3) 可 用 性 A): 容许 该 信 




















性 的 保持 。 对 某 纪 














评估 ， 实 质 上 就 是 总 
对 信息 资产 的 记 





















































析 方 法 ， 即 定性 和 定 








i" 











包含 信息 为 组 织 或 法 律 所 规范 上 








Jr 
完整 性 要 求 ， 上 且 








完整 性 被 破坏 会 对 组 织造 

















EE 


Pun 


产 失 效 的 时 间 长 短 。 














为 了 实现 定性 资产 的 定 


密 等 级 分 为 如 下 4 级: 
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化 ， 需 要 对 各 类 1 























昌 织 的 资产 的 价值 进行 


厅 相 结合 的 法 则 ， 从 定 
务 害 ， 甚 至 会 造成 


资产 进行 分 级 。 比 如 将 信息 资产 价值 的 机 





D) 一 般 : 无 特殊 机 密 性 要 求 ， 可 对 外 公 


20 限 阅 : 仅 供 
3) 敏感 : 仅 供 


ELE 内 部 人 员 或 被 授权 的 
HZR 内 部 相关 业务 承办 人 





2 
2 





4) BUE: 是 组 织 、 主 管 机 关 或 法 律 所 规 


基于 上 述 分 级 























的 信息 。 








单位 及 人 员 使 用 。 
员 及 其 主管 ， 或 被 授权 的 单位 及 人 员 使 用 。 








范 的 机 密 信 息 


D 信息 资产 无 特殊 的 机 密 性 要 求 ， 设 定 其 值 为 0。 


2) 信息 资产 仅 供 组 织 内 部 人 员 或 被 授权 的 单位 及 人 员 使 朋 































































































3) 信息 资产 仅 供 组 织 内 部 相关 业务 承办 人 员 及 其 主 
定 其 值 为 2。 
4) 信息 资产 所 包含 信 ， 
同 理 ， 比 如 可 以 对 信息 资产 价值 的 可 用 性 按照 如 下 标准 进行 定量 评 佑 : 
1) 如 果菜 信息 
2) 如 果 某 信息 
3) 如 果 某 信息 
4) 如 果 某 信息 
再 如 ， 对 信息 资产 价值 的 完整 性 按照 如 下 标准 进行 定量 评估 : 
1) 如 果 某 信息 资产 本 身 对 完整 性 要 求 非 
2) 如 果 某 信息 资产 本 身 具 有 完整 性 要 求 ， 但 当 完 整 1 
害 ， 设 定 其 值 为 1。 
3) 
不 太 严 重 ， 设 定 其 值 为 2。 
4) 
害 ， 设 定 其 值 为 3。 
当 对 信息 资产 的 机 密 性 、 完 整 性 及 可 
息 资 产 的 价值 ， 即 信息 资产 价值 =Max(C,LA)。 



































Aro 
"Ea 
= 


o 


， 可 以 对 信息 资产 价值 的 机 密 性 按照 如 下 标准 进行 定量 评估 : 























昌 为 组 织 或 法 律 所 规定 的 机 密 信息 ， 设 定 其 值 为 3。 




















资产 可 容许 失效 4 个 工作 月 以 上 ， 设 定 其 值 为 0。 






















































































































































































常 低 ， 设 定 其 


资产 可 容许 失效 4 个 工作 日 以 下 ，8 个 工作 小 时 以 J 

















昌 ， 设 定 其 值 为 1。 
， 或 被 授权 的 单位 及 人 员 使 用 ， 设 


E WEHEN 1. 





























值 为 0。 








如 果菜 信息 资产 本 喘 具 有 完整 性 要 求 ， 当 完整 性 遭受 破坏 时 ， 会 对 组 织 




























































































5. 信息 资产 风险 评估 


威胁 、 弱 点 与 风险 之 间 的 关系 可 以 























性 进行 评估 后 

















述 为 











县 资产 可 容许 失效 8 个 工作 小 时 以 下 ，4 个 工作 小 时 以 上 ， 设 定 其 值 为 2。 
资产 可 容许 失效 4 个 工作 小 时 以 下 ， 设 定 其 值 为 3。 











生 遭 受 破坏 时 ， 不 会 对 组 织造 成 伤 








tm 














造成 伤害 ， 但 


如 果 某 信息 资产 本 身 具 有 完整 性 要 求 ， 当 完整 性 遭受 破坏 时 ， 会 对 组 织造 成 严重 伤 











， 可 以 取 三 者 中 的 最 大 值 ， 作 为 信 





风险 =F 《资产 价值 ， 威 胁 等 级 ， 弱 点 等 级 ) 























因此 ， 信 息 资产 的 风险 估计 值 的 计算 方法 可 以 定义 为 


风险 估计 值 = 信息 资产 价值 X 威 胁 等 级 xX 弱点 等 级 









































出 的 是 ， 信 息 资产 的 风险 估计 值 的 计算 方法 也 可 以 定义 为 














风险 估计 值 = 信息 资产 价值 X 威 胁 等 级 xX 弱点 等 级 X 事 件 的 影响 程度 































































































为 了 简化 处 理 ， 这 里 不 考虑 事件 的 影响 程度 。 
其 中 ， 事 件 的 威胁 等 级 (发 生 之 可 能 性 )， 可 以 按照 表 6-3 所 示 的 标准 评估 。 
表 6-3 威胁 等 级 评估 标准 
o WBRBR | wu 
威胁 发 生 的 可 能 性 为 低 1 
威胁 发 生 的 可 能 性 为 中 2 
威胁 发 生 的 可 能 性 为 高 3 
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Ilii 





N 
| 
T 
o 


事件 的 弱点 等 级 〈 受 到 威胁 利用 之 容易 度 )， 可 以 按照 表 6-4 Wiz Basti 
表 6-4 ”威胁 等 级 评估 标准 












































评估 标准 VE 估 值 
弱点 不 容易 被 威胁 入 1 
弱点 容易 被 威胁 利 2 
弱点 很 容易 被 威胁 入 3 
































综 上 所 述 ， 资 产 风 险 的 取 值 范 围 为 [0,27]。 完 整 的 事件 风险 权 值 对 照 见 表 6-5。 


表 6-5 事件 风险 权 值 对 照 
威胁 等 级 低 (D "o0 高 G) 































































































弱点 等 级 低 a) 中 (2) 高 (3) 低 CD 中 (2) 高 (3) 低 (D 中 (2) 高 (3) 
0 0 0 0 0 0 0 0 0 0 
产 1 1 2 3 2 4 6 3 6 9 
价 2 2 4 6 4 8 12 6 12 18 
fH 
3 3 6 9 6 12 18 9 18 27 
有 了 风险 估计 值 后 ， 通 过 表 6-6 所 示 的 风险 等 级 对 照 标 准 ， 就 可 以 给 出 相应 的 风险 等 级 。 


























表 6-6 风险 等 级 对 照 标准 














风险 估计 值 风险 等 级 
0~9 1 
9~18 2 
18~27 3 





6.1.3 ”安全 风险 评估 流程 

按照 《信息 技术 安全 评估 准则 》， 信 息 系统 安全 风险 与 信息 资产 、 威 胁 、 脆 弱 性 以 及 安全 
措施 等 相关 因素 有 关 。 

信息 系统 安全 风险 评估 的 主要 内 容 就 是 在 充分 识别 风险 要 素 的 基础 上 。 综 合 考 虑 各 要 素 
间 的 内 在 关联 性 ， 重 现实 际 存在 或 潜在 的 威胁 场景 ， 分 析 和 确定 其 可 能 造成 的 影响 ， 以 及 造成 
后 果 的 可 能 性 ， 从 而 确定 风险 ， 为 风险 控制 提供 合理 的 依据 。 

风险 评估 的 实施 流程 包括 评估 准备 、 风 险 因素 识别 、 风 险 分 析 以 及 风险 控制 等 步 又 中。 

1. 评估 准备 

为 了 确保 评估 过 程 的 可 控 性 以 及 评估 结果 的 客观 性 ， 在 风险 评估 实施 前 ， 一 般 应 做 到 以 
下 几 点 : 

(1) 确定 评估 目标 ”应 明确 风险 评估 对 象 的 机 密 性 、 完 整 性 和 可 用 性 等 目标 ， 为 风险 评 
f sb Ree S n] o 
(2) 界定 评估 范围 ”风险 评估 范围 可 能 是 组 织 全 部 的 信息 及 与 信息 处 理 相关 的 各 类 资 
产 、 管 理 机 构 ， 也 可 能 是 某 个 独立 的 系统 、 关 键 业 务 流 程 的 系统 或 部 门 。 

(3) 组 建 评估 团队 ”组 建 风险 评估 管理 与 实施 团队 ， 支 持 整 个 评估 工作 的 推进 ， 如 成 立 
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危 
"Es 
=] 


管理 层 、 相 关 业 务 骨干 和 技术 人 员 等 组 成 的 风险 

















(4) 选择 评估 方法 和 工具 ”应 依据 订 

















上 


























5 具体 组 织 环 境 和 安全 要 求 相 适应 的 评估 方法 和 工具 。 
(5) 争取 领导 支持 ”所 有 内 容 确定 后 应 
































技术 人 员 进 行 传达 ， 并 对 风险 评估 内 容 i 
2. 资产 识别 
此 阶段 的 主要 工作 是 识别 信息 安 
完整 性 和 可 用 性 是 评价 资产 的 三 个 安全 属性 。 


性 、 


























对 间 和 人 员 素 质 等 因素 ， 选 取 能 够 




















里 者 的 支持 和 批准 ， 对 管理 层 和 

























































































相关 人 员 在 风险 评估 中 的 具体 任务 。 

















人 风险 要 素 的 风险 ， 以 及 已 有 的 安全 措施 的 效果 。 机 密 
达成 程度 的 不 同 将 使 资产 具有 不 同 
































的 价值 ， 而 资产 面临 的 威胁 、 存 在 的 脆弱 性 以 及 已 采取 的 安全 措施 都 将 对 资产 安全 属性 的 达成 
程度 产生 影响 。 


支持 业务 持续 运行 的 系统 数量 可 能 更 多 ， 这 时 需要 将 
为 下 一 步 的 风险 评估 做 准 备 ，@ 资 产 赋值 ， 对 资产 的 赋值 不 仅 要 考虑 资产 本 身 的 价值 ， 还 要 
前 时 的 一 致 性 和 准确 性 ， 应 建立 统一 的 次 





虑 资产 的 安全 状况 对 于 组 织 的 习 


























资产 识别 工作 主要 包括 : 资产 分 类 ， 
































风险 评估 中 ， 资 产 大 多 属于 不 同 的 信息 系统 ， 其 
县 系统 及 相关 的 资产 进行 恰当 的 分 类 ， 
























































E 要 性 。 为 确 









































产 价值 评价 尺度 ， 以 指导 资产 赋值 。 资 产 赋值 的 过 程 也 是 对 资产 在 机 密 性 、 完 整 性 和 可 用 性 上 
的 达成 程度 进行 分 析 。 


造成 威胁 的 因素 可 分 为 人 为 因 
和 无 意 两 种 。 
除 等 
威胁 识别 

















3. 威胁 识别 























素 。 根 据 威胁 的 动机 ， 人 为 因素 又 可 分 为 恶意 



































威胁 作用 形式 可 以 是 对 信息 系统 直 
， 在 机 密 性 、 完 整 性 或 可 用 性 等 方面 造成 损害 。 


















































中 最 为 困难 的 部 分 。 


据 资 产 损 害 程度 、 技 术 实 现 的 难 易 程度 和 脆弱 怕 
程度 进行 赋值 

5. 风险 分 析 
风险 分 析 涉 及 资产 、 威 胁 和 脆弱 
介 值 ， 威 胁 的 属性 是 威胁 出 现 的 频率 ， 脆 弱 性 的 
风险 分 析 的 主要 内 容 为 : 中 对 资产 进行 


4S Me 


资产 











脆弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 、 工 
试 等 


主要 











=~ 














H. o 
































工作 主要 包括 : ORW 
胁 赋 值 ， 判 断 威胁 出 现 的 频率 是 威胁 识别 的 重要 了 
来 进行 判断 ， 如 按照 威胁 频率 等 级 将 威胁 划分 为 三 级 ， 分 别 代表 威胁 出 现 的 频率 高 低 。 等 
煞 值 越 大 ， 威 胁 出 现 的 频率 越 高 。 
4. REISERA 

脆弱 性 识别 将 针对 每 一 项 需要 保护 的 资产 ， 找 出 可 能 被 威胁 利用 的 弱点 ， 并 对 脆弱 性 的 
严重 程度 进行 评估 。 脆 弱 性 识别 时 的 数据 应 来 
等 。 资 产 的 脆弱 性 具有 隐蔽 怕 


民 多 ， 如 依据 威胁 来 源 进 行 分 类 ; 
[ 作 ， 评 估 者 应 根据 经 验 和 有 关 的 统计 





















































Ff， 如 非 授 权 的 汇 露 、 算 改 和 删 












































者， 以 及 相关 业务 领域 的 专家 
E， 有 些 弱 点 只 有 在 一 定 条 件 和 环境 下 才能 显现 ， 这 是 脆弱 性 识别 








检测、 人 工 核查 、 文 档 查阅 和 渗透 性 测 














TZA: 包 脆 弱 性 识别 ， 对 每 个 资产 分 别 识别 其 存在 的 脆弱 性 ， 包 脆弱 性 赋值 ， 根 
ELE 程度， 采用 等 级 方式 对 已 识别 的 脆弱 性 的 严重 













































































本 要 素 。 每 个 要 素 有 各 自 的 属性 ， 资 产 的 属性 是 
盟 性 是 资产 弱点 的 严重 程度 。 
并 对 资产 的 重要 性 进行 赋值 ， 包 对 威胁 进 












































行 识 别 ， 描 述 威胁 的 属性 ， 并 对 威胁 出 现 的 频率 赋值 ，@® 对 资产 的 脆弱 性 进行 识别 ， 并 对 具体 


资产 的 脆弱 性 的 严 避 























程度 赋值 ， 包 根据 威 








的 识别 结果 判断 安全 事件 发 生 的 可 能 | 
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@ 根 据 脆 弱 性 的 严重 程度 及 安全 事件 所 作用 资产 的 重要 性 计算 安全 习 
件 发 生 的 可 能 性 以 及 可 能 造成 的 损失 ， 计 算 安全 事件 发 生 时 对 组 织 角 















































6， 风 险 控制 
信息 系统 的 安全 风险 具有 危害 严重 和 不 可 转移 等 特性 。 因 此 ， 信 
式 包括 以 下 三 种 0 @@ 降 低 风 险 ， 对 于 不 能 接受 的 风险 ， 采 取 适 当 的 控制 措施 ， 如 系统 安全 加 固 












































和 漏洞 修补 等 ， 减 少 风险 发 生 的 可 能 性 ， 降 低 风 险 发 生 的 影响 ，@ 避 














术 措 施 或 管 











事件 的 损失 ， 人 @) 根 据 安全 事 




















影响 ， 即 风险 值 


县 系统 安全 风险 的 处 理 方 























免 风 险 ， 对 于 可 以 通过 技 




















时 措施 避免 的 风险 ， 应 当 采 取 措 施 予 以 避免 ，@ 接 受 风险 












































， 对 于 已 采取 措施 避免 的 





风险 ， 出 于 某 方面 的 原因 ， 若 其 残余 风险 在 组 织 可 接受 的 范围 内 ， 可 以 考虑 接受 风险 。 





62 云 服务 风险 与 措施 


由 于 云 产 业 目前 许多 标准 仍 未 建立 完备 ， 无 论 是 对 新 创 公 司 或 大 中 小 型 企业 来 说 ， 如 何 
根据 企业 策略 选择 接 适 合 自己 业务 需求 的 云端 服务 具有 一 定 的 风险 。 


62.4 云 服务 风险 概述 





从 用 户 





看 ， 传 统 信 ， 
术 的 引入 ， 




































































角度 来 看 ， 云 计算 意味 着 数据 、 计 算 及 应 用 均 通 过 网 络 被 转移 到 用 户 掌控 范围 之 
外 的 云 服 务 提供 商 手 中 ， 因 此 ， 用 户 隐私 信息 和 云 服务 风险 等 问题 随 之 而 来 。 从 技术 层面 来 

















昌 安 全 存在 的 问题 在 云端 上 同样 存在 ， 而 且 还 因为 云 计算 
使 得 云 服务 面临 新 的 服务 风险 问题 。 














1. 云 服务 面临 的 风险 





从 安全 












































因 来 看 ， 包 括 软 件 漏洞 或 缺陷 、 配 置 错 误 、 基 础 设施 故障 、 黑 客 攻 击 
看 ， 云 服务 提供 商 方面 存在 如 下 儿 个 方面 的 风险 : 






































1) 用 户 验 证 和 授权 风险 。 云 服务 提供 
] 户 在 访问 资源 的 同时 必须 满足 相应 的 许可 。 这 一 过 程 主要 是 通过 























用 户 验 


户 才 可 以 访问 相应 的 资源 。 但 是 很 多 授权 是 级 联 的 ， 即 授权 可 以 是 用 


的 商业 模式 及 虚拟 化 等 技 





事件 的 后 果 来 看 ， 主 要 表现 为 信息 丢失 或 泄露 和 服务 中 断 。 从 导致 安全 事件 的 原 


等 原因 。 从 技术 的 角度 来 























商 根据 服务 模型 针对 不 同 的 用 户 提供 相应 的 服务 ， 






































] 户 验证 的 方法 来 进行 。 











证 过 程 通过 网 络 进行 ， 网 络 本 喘 是 不 可 靠 的 ， 用 户口 令 在 传输 过 程 中 也 存在 泄露 
的 风险 。 在 资源 授权 方面 ， 云 服务 根据 其 授权 机 制 必须 维护 一 个 授权 



























































可 能 出 现 误 授权 的 情况 。 
2) 数据 机 密 性 风险 。 对 于 一 些 敏感 数据 ， 用 户 不 希望 被 第 三 方 知晓 ， 因 此 云 服务 提供 商 
应 该 提供 对 数据 做 加 密 处 理 服务 。 为 了 保证 数据 加 密 的 速度 ， 常 采用 对 称 加 密 算法 如 AES. 
数据 机 密 性 风险 在 于 加 密 密 钥 的 管理 方面 可 能 存在 的 潜在 风险 。 
3) 数据 完整 性 风险 。 用 户 在 访问 数据 的 时 候 ， 应 该 得 到 数据 的 校 验 信息 和 签名 信息 。 数 





据 签名 主要 采用 数据 加 密 体 制 
成 ， 消 息 摘要 通过 对 任意 长 度 的 数据 进行 散 列 ， 生 成 特定 长 度 的 散 列 


在 保证 








































































































列表 ， 对 于 验证 通过 的 用 
户 委托 ， 在 这 个 过 程 中 也 





























的 非 对 称 加 密 算 法 如 RSA。 数 据 校 验 信息 通过 消息 摘要 来 生 











值 。 














数据 完整 性 的 实施 中 通常 会 结合 这 两 种 方法 ， 即 在 签名 








引入 了 散 列 。 当 数据 被 




















人 变更 后 , 
在 数据 完整 








用 户 得 到 的 散 列 值 与 签名 中 包含 的 散 列 值 不 符合 ， 从 而 
性 验证 中 ， 用 户 所 担任 的 风险 主要 来 自 服务 动 持 ， 即 用 户 

















] 户 可 以 拒绝 接收 该 数据 。 





与 云 服务 器 的 会 话 被 支持 














到 网 络 中 的 第 三 方 ， 这 样 会 话 的 机 制 没 有 任何 变化 ， 但 是 通信 实体 却 
4) 可 用 性 风险 。 云 服务 必须 有 一 定 的 容错 机 制 来 保证 数据 的 可 
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已 经 改变 。 












































用 性 。 数 据 可 用 性 的 风险 


























主要 来 自 软 件 性 能 故障 和 硬件 性 能 故障 两 个 方面 。 











5) 不 可 抵赖 性 风险 。 不 可 抵赖 性 是 指 在 一 个 会 话 过 程 中 ， 任 何 一 方 的 会 话 实 体 不 能 否认 
其 动作 行为 ， 服 务 器 在 会 话 过 程 中 需要 保证 会 话 的 纪录 以 便 进行 审计 和 核查 。 不 可 抵赖 性 的 风 


险 主要 来 自 于 云 服务 方 的 会 话 日 志 记 录 的 完整 性 。 








6) 资源 共享 















































可 能 引发 的 风险 。 为 了 保证 云 计算 资源 可 动态 扩展 ， 云 计算 中 的 计算 能 力 























存储 与 网 络 资源 等 在 多 用 户 间 进行 共享 ， 这 就 难以 保证 良好 的 隔离 性 。 












































用 户 必 须 明确 











使 用 云 计算 所 引入 的 各 种 风险 。 这 就 能 够 让 用 户 确保 在 选取 和 采用 云 服务 过 程 中 















































务必 执行 必要 的 安全 控制 措施 。 因 此 ， 从 用 户 角 度 来 看 ， 用 户 需要 关注 以 下 几 方面 的 安全 风险 : 












































1 ) 数据 传输 安全 。 在 传输 数据 到 云端 服务 器 过 程 中 ， 如 何 确保 数据 不 被 窃取 ， 是 云 用 户 


关心 的 问题 之 一 ， 





























因为 这 些 数据 可 能 涉及 用 户 的 隐私 或 企业 的 商业 机 密 等 。 








2) 数据 存储 安全 。 在 未 做 备份 的 情况 下 对 数据 删除 和 修改 、 把 数据 存储 于 不 可 靠 的 介质 
上 、 密 钥 的 丢失 导致 数据 无 法 解密 、 发 生意 外 灾难 但 缺乏 合适 的 备份 与 存档 ， 都 可 能 导致 数据 

































































丢失 。 因 此 ， 用 户 在 签订 服务 合同 时 ， 需 要 对 数据 存储 的 安全 性 进行 细致 和 明确 的 规定 ， 保 障 




















与 传统 系统 的 风险 相 比 较 ， 除 了 上 面 所 论述 的 技术 风险 外 ， 云 服务 还 面临 如 下 政策 和 组 





织 风险 、 法 律 风险 中; 
1) 锁定 风险 。 




















由 于 缺少 支持 云 应 用 或 云 服务 可 移植 性 的 通用 标准 ， 这 使 用 户 难 以 做 到 
































跨 云 的 迁移 。 当 云 提 供 商 破产 或 倒闭 时 ， 这 种 数据 被 锁定 的 结果 是 灾难 性 的 ， 即 使 到 时 能 
移 ， 其 成 本 也 是 非常 昂贵 的 。 可 以 说 ， 用 户 存储 越 多 数据 到 云 中 ， 被 锁定 的 数据 会 越 多 ， 风 


仿 会 越 大 。 



































2) 法 规 遵从 方面 的 风险 。 使 用 云 计 算 可 能 不 满足 某 些 工业 标准 或 法 律 规定 的 需求 而 产生 


矛盾 或 纠纷 。 可 




















能 的 原因 有 : (D 有 些 法 规 要 求 特定 数据 不 能 与 其 他 数据 混杂 保存 在 共享 的 服务 

















器 或 数据 库 上 ; @ 有 些 国 家 严格 限制 本 国 公民 的 私密 数据 保存 于 其 他 国家 ，G@ 有 些 职能 部 门 如 









































银行 监管 部 门 要 求 用 户 将 数据 保留 在 本 国 等 。 












































3) 调查 、 审 计 风险 。 云 计算 和 云 存储 服务 可 跨国 获取 ， 而 用 户 提供 的 账户 信息 可 能 是 伪 
造 的 ， 加 上 不 同 国家 和 地 区 对 违法 行为 的 取证 需求 不 尽 相同 ， 因 此 对 基于 云 平台 的 网 络 犯罪 生 

















为 很 难 进 行 追查 。 



































当 平台 中 的 资源 来 自 第 三 方 供应 商 时 ， 溯 源 更 为 困难 。 
































云 存储 文 持 多 租用 户 共享 ， 在 调查 取证 过 程 中 ， 云 服务 供应 商 不 一 定 会 配合 。 如 果 配 
合 ， 可 能 会 给 其 他 用 户 的 业务 带 来 风险 。 再 者 ， 在 资质 审计 的 过 程 中 ， 服 务 商 未 必 提 供 必 要 的 






































言 息 ， 使 得 第 三 方 机 构 无 法 对 服务 商 进行 准确 的 、 客 观 的 评估 。 















































总 之 ， 云 服务 商 在 确保 不 对 其 他 企业 的 数据 计算 带 来 风险 的 同时 ， 还 需要 提供 必要 的 信 





















































Ri a CL Dua . 
2. 云 服务 风险 研究 现状 
































与 云 计 算 的 








他 方面 相 比 ， 云 安全 风险 研究 明显 滞后 。 主 要 存在 的 问题 是 ， 相 关 研究 成 


























果 较 少 。 国 外 办 








I 网 


























起 步 ， 国 内 的 研究 更 是 匮乏 ， 而 且 起 步 更 晚 一 些 。 此 外 ， 已 有 研究 多 为 定性 














的 研究 ， 缺 乏 定量 的 研究 。 而 现 有 的 定量 分 析 的 研究 成 果 中 也 存在 很 多 缺陷 。 





目前 ， 尽 管 各 国际 标准 组 织 机 构 对 云 计算 安全 风险 分 析 的 角度 不 尽 相 同 ， 但 普遍 认为 共 


















































享 环境 中 的 数据 和 资源 隔离 、 云 中 数据 保护 以 及 云 服务 的 管理 和 应 用 接口 安全 是 最 值得 关注 的 





























问题 。 从 各 国际 组 织 的 关注 重点 来 看 ， 管 理 方面 的 探讨 较 多 。 例 如 ENISA 强调 公有 云 服务 对 
































满足 某 些 行业 或 应 




















特定 安全 需求 的 合 规 性 风险 。2008 年 ，Gartner 发 布 的 《 云 计 算 安 全 风险 
747 














评估 》 研 究 报告 声称 ， 
说 ， 他 们 应 该 意识 到 ， 
(1) 优先 访问 风险 























当 把 数据 交 给 云 计 算 服务 商 后 
的 用 户 ， 而 是 云 计算 服 务 商 。 这 样 就 无 法 排除 用 户 数据 被 泄露 出 去 的 可 能 性 。 因 





虽然 云 计 算 产 业 具 有 巨大 市 场 增长 前 景 ， 但 对 于 使 
云 计 算 服 务 存在 着 如 下 七 大 潜在 安全 风险 中， 




















j 这 项 服务 的 用 户 来 

















只 有 数据 优先 访问 权 的 并 不 是 相应 























择 使 有 
露 的 风险 降 到 最 低 。 
(2) 管理 权限 风险 

















安全 性 负 有 最 终 的 责任 。 传 统 服务 提供 商 一 般 会 1 








日 云 服 务 之 前 ， 最 好 要 求 服务 商 提 供 








~ 












































虽然 用 户 把 数据 交 给 云 服 务 商 托管 ， 但 























此 ， 用 户 在 选 
IT 管理 员 及 相关 员工 的 相关 信息 ， 从 而 把 数据 泄 
j 户 对 自己 数据 的 完整 性 和 














第 三 方 机 构 进行 审计 或 安全 认证 。 但 如 果 云 





服务 商 通常 会 拒绝 接受 这 样 的 审查 ， 则 用 户 无 法 对 被 托管 的 数据 加 以 有 效 利用 。 


(3) 数据 处 所 风险 

















算 服务 商 了 解 : 服务 商 是 否 从 属于 服务 器 放置 























云 计 算 服 务 商 是 否 有 权 拒 绝 提交 所 托管 的 数据 等 。 























(4) 数据 隔离 风险 ”在 云 计算 平台 
式 ， 也 不 能 保证 做 到 万 无 一 失 。 而 且 





的 效率 。 

C5) 数据 恢复 风险 
做 出 承诺 ， 必 须 对 用 
的 情况 ， 而 且 还 需 D 
(6) 调查 支持 风险 
供 ， 因 为 云 计算 平台 


口 






































商 的 数据 中 心 。 如 此 一 来 ， 若 用 











涉及 很 多 用 








时 ， 则 无 法 求助 云 计算 服务 商 


fJ 


























中 ， 用 户 数据 处 于 共享 环境 下 ， 即 使 采 





| 数据 加 密 在 很 多 情况 下 3 


为 了 确保 数据 安全 ， 用 户 在 选择 使 用 云 计 算 服 务 之 前 ， 应 先 向 云 计 
地 所 在 国 的 司法 管辖 ， 在 这 些 国 家 











展开 调查 时 ， 




















| 数据 加 密 方 














不 有 效 ， 但 是 还 降低 了 数据 使 用 








即使 用 户 了 解 到 自己 的 数据 被 放置 到 哪 j 
户 所 托管 数据 进行 备份 ， 以 防止 出 现 重大 事故 后 用 户 的 数据 无 法 得 到 恢复 
保 服 务 商 在 有 效 的 时 间 内 恢复 。 
在 通常 情况 下 ， 如 果 用 户 试图 收集 一 些 数据 ， 云 服务 商都 不 愿意 提 
户 的 数据 。 在 一 些 数据 查询 过 程 中 ， 可 能 会 牵涉 到 云 计算 服务 





























台 服 务 器 上 ， 也 需要 服务 


i 




















CD 长 期 发 展 风险 dE 








最 期 望 的 结果 是 ， 这 家 服务 下 
因为 ， 若 该 云 计算 服务 商 破产 或 被 收购 ， 
此 ， 用 户 在 选择 云 计算 服务 商 之 前 ， 
展 的 风险 也 考虑 在 内 。 


产 或 被 收购 。 
既 有 服务 将 被 中 断 。 因 | 
最 好 把 长 期 发 








用 


ux 











全 


户 选 定 了 某 云 计算 服务 商 后 ， 


能 够 





可 


























F 稳 发 展 ， 而 不 会 破 
J” 
































Gartner 开创 了 云 服务 风险 研究 之 先河 。 继 而 ， 一 些 学 





者 投身 该 领域 的 研究 。 比 如 ， 参 考 文献 [10] 分 析 了 云 计算 
系 结构 中 IaaS、PaaS 和 SaaS 三 个 不 同 
献 [11] 研 究 云 计算 安全 问题 的 风险 管理 ， 
了 云 计 算 安 全 风险 问题 。 参 考 文献 [12] 对 云 计算 环境 中 数据 
安全 风险 进行 分 析 ， 对 主要 云 服务 提供 者 倡导 的 安全 机 制 
期 的 云 服务 使 用 的 风险 分 








了 调查 研究 ， 并 提出 一 种 可 以 被 预 





析 方 法 ， 该 方法 在 用 户 将 其 机 密 数 据 置 了 














层次 的 风险 。 参 考 文 


体 








并 从 用 户 角 度 调查 





















































六 云 环境 中 之 前 分 析 


数据 的 安全 风险 。Rosenthal 等 人 站 指出 把 数据 储存 在 云端 


e| 
能 会 


上 可 


风险 ，@@ 非 技术 外 包产 生 的 风险 。 
型 的 SaaS 安全 堆栈 ( 见 图 6-3), 
据 的 安全 风险 ， 必 须要 实现 跨 层 次 获 善 。 
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Z 








有 如 下 风险 : 全 安全 技术 管理 风险 ; @ 黑 客 产生 的 
考 文献 [14] 给 出 一 个 典 








突出 强调 了 为 避免 企业 数 


[^ 








户 本 身 也 是 服务 商 ， 当 自己 需要 向 其 他 用 户 提供 数据 收集 服务 






































数据 隔离 


应 用 程序 服务 
计量 、 日 志 记录 、 多 租户 的 支持 


利用 SLA 的 安全 传输 







基础 设施 服务 
存储 、 备 份 、 网 络 、 错 误 


安全 配置 操作 系统 





虚拟 化 
物理 安全 








电子 访问 控制 系统 





H 
数据 中 心 层 
服务 器 、 硬 盘 、 网 络 


6-3 SaaS 安全 堆 




















参考 文献 [15] 提 出 的 FAIR. (Factor Analysis of Information Risk) 方法 ， 同 
两 种 风险 评价 方法 。 而 且 FAIR 还 对 构成 信息 风险 的 
素 的 测量 方法 。 除 此 之 外 ，FAIR 还 给 














定性 
一 个 针对 导致 信息 风险 因 
































模拟 模型 。FAIR 在 云 风 险 评价 过 程 ， 
步 的 分 析 。 


























因素 进行 分 类 ， 
一 个 进行 应 





时 采用 定量 和 
FAIR 还 提供 
程序 分 类 的 








同时 
































， 可 以 帮助 我 们 更 好 地 理解 问题 域 ， 并 且 有 利于 进 一 


























针对 SaaS 的 风险 评估 框架 S-CRA 是 以 调查 问卷 为 基础 的 








产生 一 个 SaaS 候选 提供 商 的 风险 文档 及 方案 ， 并 且 做 出 


的 出 现 。 








个 决策 工具 ， 为 云 使 用 者 














个 标准 的 理性 决策 来 减少 风险 














参考 文献 [1$] 给 出 了 一 个 优化 的 云 服务 框架 OPTIMIS (Optimized Infrastructure 








Service), OPTIMIS 的 
务 以 及 可 信任 的 可 审计 



























































务 架构 、 部 署 以 及 运行 等 方面 ， 从 而 实现 云 服务 的 可 用 性 、 


目标 就 是 为 了 实现 云 服务 生态 系统 ， 人 允许 自 动 化 的 组 织 、 无 颖 化 的 服 
的 服务 提供 商 的 应 用 。 在 OPTIMIS ' 








， 云 风险 评估 将 被 应 用 在 云 服 




















可 靠 性 、 可 





计 以 及 在 生态 和 经 



































济 方 面 的 可 持续 性 。 参 考 文献 [16] 提 出 一 个 安全 风险 评估 框架 ， 此 框架 具备 一 定 的 定量 研究 


成 分 ， 但 无 实证 研究 和 案例 分 析 。 











组 来 对 云 计 算 的 优势 和 安全 























提出 一 些 建议 。 工 作 组 负责 
































此 外 ， 针 对 实际 暴露 的 安全 问题 ， 








的 等 级 ， 然 后 根据 安全 风险 的 等 级 来 提供 相应 的 解决 方案 。 
订 目 标 方案 使 得 安全 问题 变 得 相对 容易 一 些 。 类 似 的 ， 随 着 云 计算 尤其 是 私有 云 中 虚拟 化 技术 
的 安全 问题 受到 越 来 越 多 的 关注 ， 一 种 基于 分 而 治之 策略 
思想 对 每 种 风险 制订 解决 方案 。 




















订 
































进行 分 类 ， 然 后 应 用 分 治 的 
































直接 对 比 进行 云 服务 和 基础 架构 的 风险 评估 与 风险 管理 时 要 考虑 的 因 














除了 以 上 提 到 的 风险 评估 框架 外 ， 为 了 应 对 云 计 算 固 有 的 风险 ，ENISA 成 立 了 临时 工作 
风险 进行 评 佑 。 该 工作 组 对 如 何 使 云 计算 风险 最 小 化 ， 利 益 最 大 化 
风险 评估 的 专家 还 制订 了 一 些 方法 论 。 通 过 这 些 方法 论 ， 








企业 可 以 





素 o 











人 
































目前 ， 人 们 已 经 意识 到 自 

















还 想到 可 以 将 云 环境 中 存在 的 安全 问题 分 成 不 同 
这 样 针对 特定 等 级 的 特定 问题 来 抽 














的 方案 被 提出 来 。 风 险 在 经 过 分 析 后 








安全 策略 不 能 够 彻底 解决 云 计算 的 安全 风险 问题 ， 只 有 将 传 

















统 的 技术 和 新 的 的 策略 结合 起 来 ， 才 能 使 云 计算 系统 的 安全 保护 达到 比较 理想 状态 。 





6.2.2 SaaS 风险 




















就 本 质 上 而 言 ，SaaS 就 是 云 服务 供应 方 为 满足 应 用 方 某 种 特定 需求 而 提供 消费 的 软件 计 


算 能 力 。 因 
险 主 要 如 下 [ 1: 
1. 数据 安全 风险 














对 于 企业 和 组 织 来 讲 ， 数 据 的 安全 性 往往 至 关 重要 。| 








此 ，SaaS 服务 存在 的 风险 涉及 云 服务 的 供应 方 和 应 用 方 两 大 主体 ， 他 们 面临 的 风 




















户 就 失去 对 数据 的 控制 权 。 用 户 很 难 做 到 防止 云 服 务 商 对 其 数据 



































有 的 技术 手段 还 很 























j 难 在 开放 的 云 环境 中 控 人 
据 服务 器 架设 在 提供 商 处 ， 对 企业 来 讲 ， 





于 用 户 数据 
的 盗用 或 者 泄露 等 。 同 时 以 现 
站 特权 访问 人 员 的 数据 泄露 风险 。 而 由 于 SaaS 的 数 
将 这 些 至 关 重 要 的 核心 数 ] 





旦 上 传 到 云端 ， 用 











据 放 在 第 三 方 的 服务 器 上 是 














无 法 接受 的 。 因 此 ， 在 Saas 实施 之 前 ， 





一 



































系统 故障 的 可 能 ; 


前 ， 无 论 是 底层 的 IaaS， 还 是 中 间 
达到 如 下 要 求 : 中 存储 和 系统 保护 ， 服 务 提供 





























需要 对 数据 面临 的 风险 需 进行 充分 评估 。 

层 的 Paas 或 者 最 高 层 的 SaaS， 云 端的 数据 安全 必须 
商 必须 提供 存储 系统 保护 以 避免 发 生 数据 损坏 和 
@ 数 据 保护 ， 存 储 的 数据 不 允许 未 经 授权 的 用 户 访问 ， 技 术 人 员 的 访问 也 必 


须 符 合 授权 和 认证 要 求 ， 此 外 ， 服 务 提 供 者 还 必须 保证 数据 的 完整 性 。 
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在 SaaS 模式 ， 用 户 数据 存储 在 Saas 供应 商 的 数据 中 心 。 用 户 对 数据 的 直接 控制 能 力 有 
V 应 采取 措施 保障 数据 安全 ， 防 止 由 于 应 用 程 
j 户 数据 面临 丢失 和 泄露 风 


限 ， 而 且 所 有 数据 都 是 通过 网 络 传输 。SaaS 企 \ 
序 漏洞 、 网 络 病毒 、 黑 客 恶 意 攻击 或 特权 用 户 3 
险 。 上 其 体 来 讲 ，(D 数 据 于 失 风 险 ， 由 于 Saas 软 们 











































































































意 行为 等 ， 使 得 
F 在 服务 商 和 使 用 方 物 理 上 的 隔 


7D 


























离 ， 软 件 和 数 


据 保存 在 SaaS 服务 商 ， 存 在 企业 用 户 对 数据 失去 控制 的 可 能 ， 用 于 存放 数据 的 服务 器 ， 由 于 











各 种 原因 而 造成 信息 
































数据 丢失 则 会 给 用 户 带 来 风险 ， 避 数据 泄露 风险 ， 月 


密 泄露 给 竞争 对 手 ， 给 企业 带 来 利益 上 的 损失 和 影响 风险 。 











目前 ， 解 决 数据 安全 风险 的 对 策 有 身份 和 访问 管理 
主要 的 应 对 策略 。 另 外 ，Saag 的 解决 方案 应 该 使 用 强 密码 保护 ， UA 
权限 的 访问 ， 都 应 该 被 记录 下 来 ， 供 审 





制 。 所 有 数据 ， 包 括 有 管理 


2. 数据 隔离 





数据 隔离 是 指 多 个 租户 在 使 有 
处 理 不 会 相互 干扰 。 要 实现 多 租户 之 间 的 数据 
的 数据 库 ， 优 点 是 可 以 保 记 
多 个 租户 的 数据 保存 在 统一 的 数据 库 中 ， 


A 











和 操作 难度 ， 但 











同一 张 数据 表 中 ， 通 过 租户 的 标识 字段 来 
在 一 个 多 租户 SaaS fi 








此 要 保证 其 中 一 
型 的 设计 应 能 够 
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ZIWA 














个 











ft b 











3. 网 络 安全 


在 SaaS 部 署 模 式 中 ，SaaS 提供 商 使 用 妇 
在 SaaS 部 署 网 络 中 采取 加 密 技 术 。 其 他 保障 措施 还 包括 IP 欺骗 、 端 口 扫 
即便 如 此 ，Saag 仍 面临 如 下 风险 : 
(1) 网 络 不 稳定 性 风险 
















































































E DBT 
































F 不 同 租户 之 间 的 数据 充分 隔离 ， 缺 点 是 成 本 和 天 








有 务 商 将 企业 的 商业 秘 


EE、 隐私 保护 系统 。 身 份 和 访问 管理 是 
保 在 数据 访问 上 的 控 
计 之 用 。 








日 同 一 个 系统 时 ， 不 同 租户 之 间 的 数据 是 隔离 存储 的 ， 数 据 




















珊 离 ， 常 用 技术 有 : 为 每 个 租户 提供 一 个 单独 
F 销 都 比较 大 ;，@ 将 








晶 采 用 不 同 模式 ， 在 一 定 程度 上 减少 了 数据 库 的 成 本 





响 数 据 隔离 的 效果 和 安全 性 ，@) 将 多 个 租户 的 数据 存储 在 同一 个 数据 库 的 














数据 隔离 。 
























































络 ， 企 业 就 不 能 正常 获得 服务 。 


(2) 信息 传输 风险 ”从 技术 上 来 说 ， 任 何 传输 线路 都 是 可 能 被 窃听 的 ， 因 
网 络 在 服务 端 与 用 户 端 之 间 通 信 时 ， 都 有 可 能 被 



























































(GO 病毒 入 侵 风险 ”由 于 Saas 使 用 的 是 公 月 
网 络 设备 ， 在 网 络 上 对 系统 进行 黑客 程序 的 测试 运行 等 入 侵 活 动 ， 对 系统 造成 破坏 。 
对 于 大 型 企业 ， 云 服务 通信 和 链 路 最 好 采用 专线 。 这 样 可 以 在 网 络 上 采 月 





























E 




















SaaS 应 用 的 在 线 化 但 


























得 其 对 网 络 产 生 了 严重 依赖 。 离 开 网 




















此 当 数 据 通过 
三 获 、 读 取 、 算 改 、 删 除 而 给 用 户 带 来 损失 。 


通信 线路 ， 一 些 人 可 能 出 于 各 种 目的 ， 损 坏 





区 分 ， 这 样 做 成 本 最 低 ， 但 安全 性 和 隔离 性 最 差 。 
的 部 署 中 ， 多 个 企业 的 数据 有 可 能 会 保存 在 相同 的 数据 存储 位 置 。 因 
] 户 在 进行 数据 访问 时 不 能 访问 到 其 他 用 户 ， 即 Saas 的 体系 结构 和 数据 模 








| SSL 确保 数据 在 互联 网 上 传输 的 安全 性 ， 或 者 

















描 和 数据 包 嗅 探 等 。 



































昌 专 有 加 和 密 系 统 ， 


从 而 确保 信息 安全 。 对 于 中 小 企业 ， 云 计算 服务 商 往 往 采 用 VPN 向 他 们 提高 服务 。 对 于 那些 





没有 保密 信息 的 传输 ， 通 过 公 
随 着 无 线 通 信 应 用 的 发 展 ， 移 动 云 计 算 也 成 为 当前 的 一 个 发 
过 移动 互联 网 络 以 按 需 、 易 扩展 的 方式 获得 所 需 的 基 而 
























































网 是 最 好 的 选择 。 














展 方向 。 移 动 云 计 算是 指 通 
和 设施、 平台 、 软 件 或 应 用 等 IT 资源 服 

















务 的 交付 与 使 用 模式 。 无 线 网 络 具 有 如 低 成 本 、 低 功 耗 、 高 扩展 及 更 多 的 灵活 性 等 优势 。 然 
而 ， 信 息 在 传送 过 程 中 容易 被 截获 、 欺 驴 和 算 改 
4. 管理 风险 




































































o 











因此 ， 信 息 安 全 风险 更 为 突出 。 


管理 风险 主要 是 指 由 于 系统 管理 和 使 用 人 员 缺 乏 网 络 信息 安全 常识 ， 或 违背 信息 安全 一 














般 规 定 所 导致 的 数据 损坏 、 洪 露 以 及 系统 软 便 伯 
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损坏 而 带 来 的 风险 。 





因此 要 在 确 











保 服务 器 端 安 





全 的 同时 ， 也 要 于 


























(1) 完善 安全 管理 制度 











# 顾 用 户 端的 安 














全 性 。 管 理 风险 主要 源 于 以 下 几 方面 : 
企业 应 按照 计算 机 信息 安全 的 有 关 要 求 ， 按 责 、 


权 、 





的 原则 ， 建 立 健全 SaaS 系统 岗位 责任 制度 等 ， 做 到 有 章 可 循 、 有 法 可 依 。 

















(2) 人 员 安 全 管理 














人 员 的 个 人 素质 以 及 应 急事 件 处 理 能 力 。 


可 以 采用 第 三 方 监督 机 制 来 加 
展 下 去 。 





险 ， 如 实力 与 宣传 不 符 、 


(0 建立 完善 的 监督 制度 























BI SEG E; ERE, 














SaaS 的 
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确 




















(4) 服务 商 信誉 风险 


5. 身份 和 访问 管理 安全 







































































服务 商 不 严格 
泄露 或 出 售 用 户 数据 等 。 


通过 集中 的 吴 份 和 访问 管理 
























































利 相 结 合 


应 加 强 对 系统 维护 人 员 和 技术 支持 人 员 的 信息 安全 意识 教育 ， 提 高 


j 户 可 能 对 Saas 应 用 的 实施 过 程 与 标准 不 其 了 解 ， 
保 SaaS 应 用 模式 更 合理 、 有 效 地 运行 和 发 


复 行 合同 要 求 提供 的 服务 而 给 使 用 方 利益 受 损 的 风 


E， 云 计算 的 用 户 能 够 以 一 种 标准 的 方法 保护 影响 信息 安全 区 






























































































































































操作 和 信息 ， 从 而 满足 安全 需要 、 增 加 效率 和 避免 风险 。 

号 份 和 访问 管理 需要 具备 如 下 功能 : 中 身份 管理 ， 在 用 户 身 份 生命 周 期 中 ， 有 效 地 管理 
用 户 身份 和 访问 资源 的 权限 ; @ 用 户 身份 控制 ， 包 插 访 问 和 权限 控制 、 单 点 登录 和 审计 等 ; 
访问 授权 ， 可 以 通过 集中 的 身份 、 访 问 、 认 证 和 审查 ， 监 测 、 管 理 并 降低 身份 识别 和 访问 
的 风险 。 

SaaS 供应 商 可 以 提供 完整 的 身份 管理 和 访问 授权 服务 。 在 这 种 情况 下 ， 用 户 的 信息 和 密 


但 等 都 保留 在 Saas 供应 商 的 网 站 ， 因 











码 的 安全 性 和 密码 过 期 规定 。 由 了 
解决 方案 都 是 基于 密码 学 的 方法 进行 访问 控制 。 


是 考虑 到 快速 发 展 的 技术 格 


随 着 业务 的 发 
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11 
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一 





=y 


ST3RH 





wd 


手段 ， 云 服务 提供 


而 ， 














6， 洪 在 风险 
从 技术 管理 人 员 方 面 来 看 ， 
(1) SaaS 的 财政 风险 

































































! 于 用 户 无 法 信赖 服务 商 实施 的 访 








SaaS 存在 以 下 几 个 潜在 风险 08; 
































(2) SaaS 具有 隐藏 费用 
展 来 进行 扩 




















因素 的 变更 。 



































存在 盲区 


(3) SaaS 
的 。 这 意 






































目前 很 多 云 服务 提供 商都 
(4) 合 规 挑战 的 风险 

















据 表明 
可 能 会 带 


强制 性 时 























里 然 云 服务 提供 
味 着 第 三 方 审计 尤为 重要 。 第 三 方 审计 是 保 详 
商 只 有 满足 合 规 性 要 求 








E SaaS 供应 商 FE, 企业 


问 控制 策 








成 长 中 的 企业 而 言 ，SaaS 模式 可 以 让 其 从 小 处 着 手 
































此 应 该 安全 地 存储 和 处 理 。Saag 供应 商 应 该 能 够 保障 密 
各 ， 所 以 当前 大 多 数 


IF SaaS 的 业务 还 相对 较 新 ， 他 们 面临 着 独特 的 财政 风险 ， 特 别 
局 如 何 实现 可 持续 收入 以 及 可 持续 销售 的 模型 。 
对 于 
展 。 但 是 ， 一 旦 企业 或 组 织 选 择 了 SaaS 服务 ， 并 在 业务 系统 全 面 运 
， 从 某 种 角度 上 来 讲 ， 企 业 的 业务 系统 的 命运 就 掌握 帮 
才能 得 到 SaaS 服务 商 持续 、 稳 定 的 服务 ， 一 旦 SaaS 服务 商 出 现任 
业 自 身 的 系统 运行 ， 企 业 必 须 被 迫 接受 SaaS 供应 商 的 条 件 。 因 
风险 以 及 价格 





， 然 后 








必须 不 断 文 
可 风险 ， 直 接 爽 及 企 
此 必须 考虑 到 将 来 可 能 过 到 的 
























































很 多 企业 花费 成 本 取 获得 特定 的 证 
己 能 够 遵从 这 些 规范 或 者 他 们 不 允许 训 
来 风险 。 在 某 些 情况 下 
云 服务 提供 商 不 可 能 遵从 这 种 要 求 去 运行 服务 。 








商 提 供 安全 支持 ， 但 是 最 后 是 需要 
E 云 服务 提供 























] 户 来 承担 安全 
商 遵 守 各 种 法 规 的 重要 
才能 从 根本 上 保障 各 级 云 计算 服务 的 安全 问题 。 然 
6E 绝 第 三 方 审计 。 








B. URL TU 














因为 云 基础 设施 的 原因 














E 书 认证 机 构 的 审计 ， 蛋 
， 这 种 遵从 不 可 能 实现 ， 


Eg EH UE 


























hb 么 在 迁移 到 云 环境 ! 
办 出 











就 
当 认 证 是 
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6.23 Taas 风险 





























在 laaS 服务 模型 中 ， 用 户 无 须 构 建 自己 的 数据 中 心 ， 而 是 通过 租用 的 方式 来 使 用 服务 














器 、 存 储 和 网 络 等 基础 设施 服务 。IaaS ^| 





1. 传统 的 安全 风险 





IaaS 平台 的 核心 是 数据 中 心 。 既 然 是 
的 安全 风险 问题 。 比 如 : 也 在 存储 层 考虑 数据 加 密 、 备 份 、 归 档 
虑 DDoS 攻击 、 数 据 传输 机 密 性 等 ，@@ 在 数据 层 考 
Aj 


























台面 临 的 风险 主要 如 下 : 





























; 外 在 应 用 层 考虑 程序 完整 性 检验 、 访 问 控制 与 漏洞 管理 等 。 
险 有 : 包 上 自然 灾害 带 来 的 经 营 风 险 ， 由 于 人 为 或 自然 





IaaS 平台 还 面临 的 其 他 传统 安全 风 























灾难 导致 的 停机 时 间 可 以 引入 业务 风险 ; 








eH 





风险 。 
2. 特有 的 安全 风险 


@ 环 境 的 物理 安全 ， 物 ] 
管理 、 计 算 机 操作 和 逻辑 安全 等 ，@@ 服 务 级 别 协议 〈SLA)， 违 反 SLA 也 会 遭遇 许多 商业 
































数据 中 心 ， 那 么 IaaS 就 会 面临 传统 数据 中 心 所 遇 到 
和 灾难 恢复 等 ，@) 在 网 络 层 考 
起 数据 库 安全 数据 的 隐私 性 与 访问 控制 























理 安全 和 环境 控制 评估 、 变 








由 于 IaaS 平台 的 实现 通常 都 是 建立 于 虚拟 化 技术 之 上 ， 因 此 虚拟 化 安全 成 为 其 面临 的 最 

















大 安全 风险 ， 即 : 中 虚拟 化 软件 安全 ， 该 软件 层 直接 部 署 了 


















































和 销毁 虚拟 服务 器 的 服务 ， 云 服务 提供 商 应 建立 必要 的 安全 控 甫 























管理 ; 包 虚 拟 服务 器 安全 ， 虚 拟 服务 器 或 用 户 端面 临 着 许多 主机 安全 威胁 ， 包 括 接 入 和 管理 
主机 的 密 钥 被 盗 、 在 脆弱 的 服务 标准 端口 侦 听 和 支持 未 采 


























FWRPLZ 上， 提供 能 够 创建 、 运 行 
| 措施， 限制 对 虚拟 化 层次 的 物 
































HAEA, Æ las 服务 中 ， 用 户 不 能 接 入 虚拟 化 软件 层 ， 该 


慨 由 云 服务 提供 商 来 操作 和 



































了 合适 安全 措施 的 账户 等 。 可 以 采取 





的 措施 有 : 加 选择 具有 TPM 的 虚拟 服务 器 ，@@ 为 每 台 虚 拟 服务 器 分 配 一 个 独立 的 硬盘 分 区 ， 
以 便 进行 逻辑 隔离 ，@ 每 台 虚 拟 服 务 器 应 采用 VLAN 和 不 同 IP. 网 段 的 方式 进行 逻辑 隔离 ， 需 
要 通信 的 虚拟 服务 器 间 的 网 络 连接 采用 VPN 进行 ， 进行 有 计划 的 备份 ， 包 括 完整 、 增 量 或 


























差 量 备份 方式 。 
6.24 PaaS 风险 
Paas 的 核心 技术 是 分 布 式 处 理 ， 主 


















































主要 解决 云 计 算数 据 中 心 集群 间 的 协同 工作 。 要 提供 























Paas 云 服务 ， 首 先 要 在 云 数据 中 心 架设 分 布 式 处 理 平 台 ， 包 括 分 布 式 文件 系统 、 分 布 式 计算 
和 分 布 式 数据 库 等 ， 其 次 ， 要 对 分 布 式 处 理 平 台 进 行 封 装 ， 向 用 户 提供 开发 环境 、API 接口 和 




















库 等 。 因 此 ， 对 Paas 层 来 说 ， 面 临 的 安全 威胁 主要 包括 如 下 方面 : 





1. 分 布 式 文件 系统 和 数据 库 安 全 















































由 于 云 计算 环境 通常 搭建 在 大 规模 的 | 
务 器 失效 是 常态 ， 需 要 解决 系统 的 容错 问题 ，@ 服 务 器 增 减 频繁 ， 需 要 



































价 服 务 器 集群 上 ， 从 

















1 面临 诸多 挑战 。 比 如 : COR 


解决 动态 扩展 问题 ; 


需要 提供 大 数据 的 存储 、 快 速 检索 和 读 取 能 力 ， 电 多 用 户 同时 访问 时 ， 需 要 解决 并 发 控制 


和 存 取 效 率 等 问题 。 




















为 了 提升 分 布 式 文件 系统 的 可 靠 性 





在 系统 中 保存 多 个 备份 。 见 余 存储 解决 了 数据 

















， 目 前 的 通用 做 法 是 采取 元 余 存 储 的 方式 ， 每 块 数据 
的 可 靠 性 问题 ， 但 也 带 来 了 一 致 性 问题 ， 因 为 数 

















据 存储 在 多 个 不 同 的 节点 中 ， 对 数据 进行 修改 时 必须 确保 对 所 有 副本 都 进行 修改 ， 这 就 需要 分 





布 式 同 步 机 制 等 。 这 些 技术 的 复杂 性 会 给 
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从 数据 的 可 靠 和 安全 带 来 














巨大 挑战 。 


2. 用 户 接口 和 应 用 安全 




















WR Paas 层 暴 露 过 多 接口 ， 可 能 会 给 攻击 者 带 来 机 会 。 因 此 ， 如 何 检 验 用 户 的 可 靠 性 是 

















PaaS 提供 商 面 临 的 又 一 个 巨大 挑战 。 
用 户 基 于 Paas 平台 开发 的 软件 最 终 是 要 部 署 在 该 平台 上 ，Paag 提供 商 需 要 保证 程序 的 可 





"s 












































靠 运行 ， 尤 其 是 保证 不 同 应 用 之 间 的 相互 隔离 。 这 点 与 在 SaaS 模式 下 遇 到 的 挑战 是 相同 的 。 
从 技术 上 来 看 ， 目 前 Paas 对 底层 资源 的 调度 和 分 配 采 用 “尽力 而 为 ”的 机 制 ， 如 果 一 个 












































un 


Iaa 


























平台 上 运行 多 个 应 用 ， 就 会 存在 资源 分 配 和 优先 级 配置 等 问题 。 要 解决 这 些 问 题 ， 需 要 借助 
慨 的 虚拟 化 机 制 来 实现 多 个 应 用 的 资源 调配 和 SLA 等 。 

















0.3 面向 云 服务 的 测试 方法 







































































软件 ( 含 云 系统 ) 本 身 的 复杂 性 决定 了 在 软件 的 整个 生命 周期 中 风险 的 大 量 存 在 ， 而 严重 风 
险 可 能 会 导致 整个 项 目的 失败 。 因 此 ， 对 软件 系统 进行 全 方位 评测 越 来 越 引起 人 们 的 重视 。 
6.3.1 性 能 评测 




















大 多 软件 都 有 其 特殊 的 性 能 或 效率 目标 要 求 ， 说 明 在 一 定 的 工作 负荷 和 格局 分 配 条 件 


下 ， 多 数 软 件 都 具有 响应 时 间 及 处 理 速度 等 特性 。 
1. 性 能 测试 概述 
性 能 测试 主要 是 通过 获取 与 行为 相关 的 指标 数据 ， 如 响应 时 间 、 系 统 容量 、 否 吐 量 和 限 
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制 等 指标 来 评估 测试 对 象 的 性 能 。 
性 能 测试 的 主要 目标 体现 在 以 下 几 个 方面 : 




















D 系统 并 发 性 。 在 系统 可 以 接受 的 性 能 水 平 以 及 濒临 衣 省 的 临界 情况 下 ， 系 统 可 以 支持 


的 并 发 用 户 数目 。 
2) 系统 瓶颈 。 整 个 系统 中 瓶颈 所 在 位 置 。 





—— 
































3) 系统 可 扩展 性 。 系 统 具 备 多 大 规模 就 可 实现 设计 目标 ， 并 展示 出 好 的 系统 性 能 。 





























性 能 评测 的 关注 点 集中 在 评测 指标 和 评测 方法 上 ， 根 据 预先 确定 的 评测 指标 ， 针 对 






























































不 同 的 评测 对 象 ， 设 计 相 应 的 评测 方法 进行 性 能 测试 。 在 传统 的 性 能 测试 中 ， 常 用 的 性 能 评测 
指标 包括 以 下 几 方面 : 
1) 响应 时 间 。 从 用 户 发 出 请 求 到 收 到 服务 器 的 响应 所 经 历 的 延迟 。 









































2) 最 大 并 发 用 户 数 。 系 统 运 行 过程 中 所 能 承受 的 同时 向 服务 端 发 送 请 求 的 最 大 用 户 数 。 














3) deu] 





























E. ERARE BERE TRI EIE PI RATH P ORARE. —RBORUL dri 
























































会 随 着 用 户 请 求 数 目的 增多 而 增 大 。 但 是 当 用 户 请 求 达到 系统 能 够 并 发 处 理 的 最 大 用 户 请 求 数 












































目 时 ， 用 户 的 请 求 数目 就 是 最 大 春 吐 量 。 因 此 ， 通 过 吞吐 量 可 以 找到 系统 的 瓶颈 问题 。 













































































4) 资源 使 用 率 。 系 统 中 各 种 资源 的 使 用 情况 ， 一 般 用 资源 的 实际 使 用 占 总 资源 可 用 量 的 


百分比 来 表示 。 



































5) 聚合 带宽 。 系 统 能 够 提供 的 最 大 数据 传输 率 ， 即 对 外 部 应 用 系统 可 见 的 数据 传输 率 ， 














确定 了 
FJL; 


1) 负载 测试 。 主 要 测试 软件 系统 是 否 达 到 需求 文档 设计 的 目标 。 比 如 软件 在 一 定时 期 














用 来 反映 系统 对 外 提供 服务 的 整体 性 能 ， 是 一 个 综合 测评 指标 。 











性 能 指标 之 后 ， 还 需要 设计 选择 相应 的 性 能 评测 方法 。 传 统 的 性 能 评测 方法 有 以 
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内 ， 最 大 支持 多 少 并 发 用 户 数 、 程 序 请 求 出 错 率 等 。 











2) 压力 测试 。 这 也 称 为 强度 测试 ， 

















定时 期 内 ，CPU 利用 率 、 内 存 使 用 率 、 
试 的 最 大 差别 在 于 测试 目的 不 同 。 

3) 并 发 测试 。 
用 户 数量 ， 至 达到 系统 的 性 
4) 


2s ELA, 
流量 等 。 







































































硬盘 




































































能 够 用 来 录制 和 生成 














个 性 化 参数 。 

















性 能 测试 的 工具 有 
具 ， 可 以 预测 系统 行为 和 性 能 ， 
认 和 查找 问题 ， 





























使 用 率 和 错误 信息 等 ; 
Web 应 用 测试 ， 后 来 被 扩展 到 划 























通过 模拟 上 千 万 


再 通过 综合 分 
容量 测试 。 确 定 系统 最 大 承受 量 ， 如 系统 最 大 


主要 测试 软件 在 超 负 荷 情况 下 的 运行 情况 。 壁 如 在 
UO Æt 


这 主要 是 指 负载 测试 和 压力 测试 的 
pr 


ZAN 





率 和 


过 程 ， 即 通过 逐渐 增加 同时 访问 系统 的 




















网 络 吞 吐 量 等。 压力 测试 和 负载 测 




















来 确定 系统 并 发 性 能 的 过 程 。 




















HK, REMEE PEFR à 
性 能 测试 工具 能 够 模拟 大 量 用 户 同 时 访问 软件 时 的 情况 ， 同 时 也 能 模拟 单个 用 户 访问 软件 时 的 














] 户 数 、 最 大 存储 量 和 最 多 处 理 的 数据 














性 能 测试 工具 是 软件 开发 工具 的 重要 组 成 部 分 ， 通 常 指 用 来 支持 压力 测试 、 负 载 测试 ， 









































户 以 及 向 系统 施加 持续 压力 的 工具 























很 多 ， 主 流 的 产品 有 : QLoadRunner， 一 种 工业 标准 级 负载 测试 工 




















载 ， 在 不 同 压力 类 别 下 测试 它们 的 强度 
2. 云 计算 的 性 能 测试 















































助 高 性 能 计算 应 用 











(Yahoo Cloud Serving Benchmark) P", 
等 人 四 考虑 到 故障 恢复 对 云 服 务 性 能 的 影 





的 性 能 评价 模型 。 
云 计算 性 能 测试 的 主要 目标 是 验 记 











并 分 析 














目前 对 于 云 的 性 能 测试 主要 是 针对 特定 云 平台 、 
如 针对 微软 的 Azure 云 平 台 ， 参 考 文献 [20] 提 出 了 一 个 开源 的 基准 
发 。Yahoo 公司 开发 了 一 个 


用 户 实施 并 发 负载 及 实时 性 能 监测 的 方式 来 硼 
能 够 对 整个 企业 架构 进行 测试 ，@Iometer，Windows 系统 下 对 存储 子 系统 的 
读 写 性 能 进行 测试 的 软件 ， 可 以 显示 硬盘 系统 的 最 大 VO 能 力 、 硬 盘 系 统 的 最 大 吞 叶 量 、CPU 
JMeter，Apache 开发 的 基于 Java 的 压力 测试 工 
他 测试 领域 ， 可 以 用 于 对 服务 器 、 网 络 或 对 象 模拟 
其 整体 性 能 。 












































k， 最 初 被 设计 用 于 
巨大 的 负 














云 存储 服务 性 能 和 云 应 用 等 进行 的 。 例 











测试 套件 AzureBench， 以 协 




















用 来 对 云 服务 进行 基础 测试 的 评测 框架 YCSB 























I, 








通过 指定 的 并 发 请 求 数目 来 监视 服务 器 
故障 。 






































景 来 人 
试 与 压力 测试 中 ]。 


n 

















与 传统 软件 的 性 


能 测试 相 比 ， 除 进行 














bietet 











所 一 代 云 数据 服务 系统 的 性 能 








比较 。Yang 














TH 





F 在 各 种 负载 情况 下 云 服务 的 性 能 。 
佳 方式 是 使 得 多 个 测试 用 户 运 行 完整 的 云 服务 测试 ， 包 括 请 求 提 交 和 应 答 验证 。 





的 响应 速率 ， 还 要 测试 各 类 负载 是 否 导致 云 服务 功能 性 
内 此 ， 要 求 云 服务 性 能 测试 工具 能 够 定制 性 能 测试 场景 来 执行 云 计 算 性 能 测试 。 云 计算 
性 能 测试 可 设置 的 场景 主要 包括 缓冲 区 测试 、 线 性 增加 和 稳定 负载 等 。 
用 不 同 的 测试 用 例 ， 同 时 还 应 支 


提出 了 一 种 以 服务 响应 时 间 为 主要 依据 


进行 性 能 测试 的 最 








性 能 测试 不 仅 




















通过 使 用 不 同 的 测试 场 

















持 跨 越 远 端 的 云 服务 器 分 布 虚拟 用 户 ， 从 而 模拟 极限 测 





常规 的 负载 测试 和 压力 测试 等 外 ， 云 性 能 测试 还 需 

















要 进行 ;四 稳定 性 测试 ， 如 果 对 系统 平台 有 














连续 运行 的 要 求 ， 可 对 系统 进行 疲劳 性 测试 ， 确 











认 系 统 是 否 能 够 满足 相应 的 连续 运行 时 间 要 求 ，@ 大 数据 量 测试 ， 在 系统 平台 上 其 有 一 定 业 务 




















数据 量 的 背 
6.3.2 ”安全 性 评测 
安全 性 是 软件 质量 的 一 个 重要 属 怕 





景 下 进行 测试 ， 























的 是 发 现在 小 数据 量 ' 





E. TH 
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情况 下 测试 不 易 发 现 的 潜在 问题 与 缺陷 。 

















F 安 全 性 是 软件 在 受到 恶意 攻击 时 仍 提供 所 需 功 








能 力 。 
1. 安全 测试 概述 
安全 性 测试 是 检验 软件 中 已 存在 的 软件 安全 性 措 














是 否 有 效 的 测试 ， 是 保证 软 伯 


























系统 安 


全 性 的 重要 手段 。 安 全 性 测试 的 目的 是 设法 设计 出 一 些 测试 用 例 ， 试 图 突破 系统 的 安全 保密 措 



























































统 失败 ， 企 图 趁 恢复 之 机 非法 进入 ;多 试图 通过 浏览 非 保 密 数 据 ， 














验 系 统 是 否 有 安全 保密 的 漏洞 。 














安全 功能 测试 的 目的 在 于 测试 软件 的 安全 功能 实现 是 否 与 软件 的 安全 功 
否 正 确 完备 。 软 件 安 全 性 测试 可 分 为 软件 功能 测试 、 安 全 漏洞 
试 。 其 中 ， 安 全 漏洞 测试 就 是 识别 和 发 现 软 件 的 安全 漏洞 ， 避 免 其 受到 攻击 。 
利用 ， 就 可 能 造成 软件 受到 攻击 ， 使 软件 进入 不 安全 的 状态 。 基 于 威胁 的 软件 安全 怕 
软件 外 部 考察 软件 的 安全 性 ， 即 识别 软件 面临 的 安全 威胁 并 测试 其 是 否 能 
国内 外 对 于 软件 安全 性 测试 方法 的 研究 已 经 有 了 很 多 成 果 ， 下 





































































































测试 方法 9。 








施 。 比 如 : 中 设法 截取 或 破译 口令 ， 包 专门 编制 软件 以 破坏 系统 的 保护 机 4 




































































(D 基于 故障 树 分 析 ETA) 的 安全 性 测试 方法 


























是 利用 故障 树 的 最 小 害 集 来 生成 软件 安全 性 测试 用 例 的 方法 。 它 以 系统 
状态 作为 故 隐 分 析 的 顶 事件 ， 寻 找 导致 这 一 故障 发 生 的 全 部 可 能 因素 ， 绘 
出 最 小 割 集 ， 并 以 最 小 割 集 为 依据 生成 软件 安全 性 测试 










































































基于 故障 树 分 析 的 软件 安全 怕 


导出 所 
































用 介绍 几 种 常用 





























9. 














由，@@) 故 意 导致 系 


需 信息 等 ， 以 检 


求 一 致 ， 是 
1 试 及 基于 威胁 的 软件 安全 性 测 





Te AE 
FE 测试 是 从 


的 安全 性 





测试 方法 
最 不 希望 发 生 的 故障 
加 故障 树 ， 然 后 搜索 


(2) 基于 Petri 网 的 安全 性 测试 方法 “基于 Petri 网 的 软件 安全 性 测试 方法 主要 有 正 向 分 析 





法 和 逆向 分 析 法 。 














正 向 分 析 法 首先 建立 完整 的 可 达 图 和 状态 标识 表 ， 得 到 Petri 
Petri 网 模型 ， 然 后 在 可 达 集 中 搜索 所 有 包含 任意 一 个 状态 的 状态 标 
具 ， 从 初始 状态 到 该 危险 标识 的 每 个 变迁 序列 均 可 设计 为 一 个 测试 用 例 。 也 
个 被 标记 的 危险 标识 应 至 少 生成 一 个 用 例 。 这 些 用 例 构 成 了 针对 该 Petri 网 模型 的 软件 安全 性 


























iH 























测试 用 例 集 






































逆向 分 析 方 法 是 构造 所 有 可 能 导致 危险 的 软件 危险 状态 ， 然 后 分 析 求 出 




















危险 状态 可 能 的 路 径 ， 并 通过 构造 测试 用 例 来 验证 该 路 径 
由 于 正 向 分 析 方 法 需要 生成 完整 的 可 达 图 和 状态 标 








系统 是 比较 困难 的 ， 甚 至 容易 形成 组 合 爆炸 的 问题 。 




















识 集 


只 集 ， 这 对 于 逻辑 和 结构 比较 复杂 





是 否 可 行 。 






































网 的 可 达 集 ， 建 立 相 应 的 
识 ， 并 将 其 标记 为 危险 标 
在 生成 用 例 时 ， 对 每 








1 初始 状态 到 该 


G) 基于 故障 注入 的 安全 性 测试 ”软件 故障 注入 可 以 有 效 地 模拟 各 种 各 样 的 异常 程序 行 








为 ， 通 过 故障 注入 方法 能 够 强制 性 地 使 程序 进入 到 某 些 特定 的 状态 ， 





























标准 测试 技术 的 情况 下 ， 一 般 是 无 法 到 达 的 。 








7 

















而 这 些 状态 在 采 





TRUE 








软件 故障 注入 针对 应 用 与 环境 的 交互 点 ， 主 要 包括 用 户 输入 、 文 件 系 统 、 网 络 接口 和 环 


























境 变量 等 引起 的 故障 。 主 要 思路 是 通过 构造 各 类 协议 数据 包 测 试 目标 软件 是 


















































E 正 确 处 理 。 实 





质 是 在 各 类 协议 数据 包 中 植 入 故障 ， 如 修改 某 些 协议 字段 的 值 等 ， 以 发 现 被 测 软件 是 否 存在 安 














全 漏洞 。 


故障 注入 技术 最 大 的 特点 是 高 度 灵 活性 ， 既 能 开发 特殊 的 人 硬件 辅助 设备 进行 硬 伯 








测试 ， 也 能 实现 软件 方法 的 故障 注入 测试 技术 。 











(4) 模糊 测试 ”模糊 测试 是 一 种 通过 向 目标 系统 提供 非 预 期 的 输入 3 






















































































现 软件 安全 漏洞 的 方法 。 模 糊 测 试 将 随机 数据 插入 程序 ， 观 察 其 是 否 能 够 容 
































方法 的 
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测试 是 不 合 罗 和 辑 的 ， 只 是 产生 杂乱 数据 攻击 程序 。 采 用 模糊 测试 攻击 程序 可 以 发 现 其 他 采用 逻 
辑 思维 来 测试 难以 发 现 的 安全 缺陷 。 

C50 基于 风险 的 安全 测试 ”基于 风险 的 安全 测试 方法 是 将 风险 分 析 、 安 全 测试 与 软件 开 
发 过 程 结合 起 来 ， 尽 可 能 早 地 发 现 高 风险 的 安全 漏洞 。 这 种 方法 强调 在 软件 开发 的 各 个 阶段 进 
行 误 用 模式 、 异 常 场景 、 风 险 分 析 以 及 渗透 测试 等 ， 测 试 不 再 是 软件 发 布 后 打 补 丁 ， 而 是 将 安 
全 测试 相关 过 程 集成 到 软件 开发 生命 周期 中 。 

2. 云 计算 的 安全 测试 

针对 云 计算 面临 的 不 同安 全 问题 ， 安 全 测试 的 内 容 包 括 : 中 云 平台 自身 安全 ， 虚 拟 技术 
是 实现 云 计算 的 核心 技术 ， 因 此 应 分 析 各 类 虚拟 化 管理 软件 本 身 的 安全 问题 ， 形 成 虚拟 化 管理 
软件 安全 配置 核查 手册 ;， 凶 虚拟 机 环境 间 安 全 区 隔 ， 重 点 是 考虑 各 虚拟 机 之 间 的 访问 控制 策 
各 实施 手段 ， 检 测 分 析 虚 拟 机 之 间 是 否 有 隐蔽 信道 ， 同 时 应 监控 物理 CPU、 内 存 和 网 络 等 公 
资源 的 访问 行为 ， 确 保 虚拟 机 未 非法 访问 其 他 虚拟 机 的 物理 资源 ，@@ 云 上 的 数据 保护 ， 主 
要 检测 云 计算 服务 商 是 否 能 访问 用 户 数 据 ， 用 户 使 用 习惯 隐私 是 否 被 记录 或 分 析 ， 用 户 数据 物 
里 存储 位 置 是 否 被 正确 存储 在 其 指定 的 国家 或 区 域 等 ， 加 云 资源 访问 控制 ， 由 于 各 个 云 应 用 
属于 不 同 的 安全 管理 域 ， 每 个 安全 域 都 管理 着 本 地 的 资源 和 用 户 ， 当 用 户 跨 域 访 问 资源 时 ， 需 
在 域 边界 设置 认证 服务 ， 对 访问 共享 资源 的 用 户 进行 统一 的 身份 认证 管理 ， 在 跨 多 个 域 的 资源 
访问 中 ， 各 域 有 自己 的 访问 控制 策略 ， 在 进行 资源 共享 和 保护 时 必须 对 共享 资源 制订 一 个 公共 
的 、 双 方 都 认同 的 访问 控制 策略 。 因 此 ， 应 检测 跨 域 访问 资源 时 访问 控制 策略 的 安全 性 请 。 
对 于 云 计算 的 安全 评测 的 研究 已 经 有 了 较 多 成 果 ， 如 Zech 等 人 P9 认 为 由 于 云 一 直 随 着 应 
和 服务 的 变化 而 不 断 变 化 ， 所 以 云 计 算 环境 的 安全 性 不 是 一 次 性 的 任务 ， 而 是 贯穿 于 云 计算 
的 完整 生命 周期 中 。 基 于 此 ， 他 们 提出 了 一 种 变化 驱动 的 新 型 方法 模型 ， 利 用 公共 服务 的 接口 
作为 主要 入 侵 点 ， 采 用 风险 分 析 以 便于 在 所 有 层次 测试 云 计算 环境 的 安全 性 。Whaiduzzaman 
等 人 PR 基于 渗透 测试 提出 一 种 针对 第 三 方 的 自动 化 软件 脚本 模型 ， 可 以 在 云 服 务 提供 商 一 方 
运行 ， 识 别 漏洞 并 检查 云 服 务 提供 商 的 安全 强度 和 故障 承受 能 力 。Mirkovit 等 人 中 通过 提供 一 
组 控制 和 限定 指标 原则 ， 提 出 一 种 针对 云 的 可 衡量 模型 ， 并 对 可 以 用 于 评测 私有 、 公 共 或 者 混 
合 云 的 安全 测试 工具 进行 研究 。 为 解决 安全 问题 并 在 云 计算 中 进行 安全 评测 ， 参 考 文献 [29] 引 
入 了 与 其 对 应 的 分 级 安全 设计 模型 ， 提 出 一 种 云 计 算 环 境 中 基于 攻击 图 的 安全 评价 方法 。 参 考 
文献 [30] 中 将 行为 模式 扩展 为 综合 行为 模式 ， 并 依据 综合 行为 模式 学 习 持 续 行 为 关系 的 程度 ， 
使 用 基于 Petri 网 的 行为 理论 进行 云 计算 的 安全 评测 。 


6.3.3 ”可 用 性 评测 

1， 可 用 性 概述 

计算 机 系统 的 可 用 性 一 般 是 指 在 一 段 时 间 内 系统 处 于 正常 运行 状态 的 时 间 百 分 比 ， 即 正 
常 运行 时 间 /( 运 行 时 间 + 宕 机 时 间 )。 例 如 经 党 有 某 个 系统 被 描述 为 5 个 9 的 可 用 性 即 
99.999%， 就 是 依据 这 个 定义 来 的 。 

计算 机 系统 可 用 性 的 评测 方法 主要 以 评估 为 主 。 评 估 类 的 评测 方法 主要 分 析 待 测 系统 工 
作 过程 和 工作 状态 ， 建 立 系统 模型 并 利用 软件 工具 进行 求解 ， 计 算出 可 用 性 评估 模型 。 

对 于 系统 可 用 性 评测 的 研究 已 经 有 了 较 多 成 果 ， 如 美国 威斯康星 大 学 的 Miller 教授 提出 
通过 故障 注入 手段 来 评测 系统 的 可 靠 性 。 参 考 文献 [31] 将 模糊 集 理论 和 随机 Petri 网 理论 结合 
起 来 提出 一 种 可 修 系统 可 用 性 建 模 与 分 析 的 新 方法 。 该 方法 由 随机 Petri 网 的 状态 可 达 图 得 到 
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c— 




















































































































































































































































































































































































































































































































系统 的 稳定 状态 概率 方程 组 ， 然 
站 标 的 模糊 数 ， 最 后 通过 解 模糊 数 得 到 系统 的 可 月 


性 能 





























2. 云 计算 的 可 用 性 测试 


云 计 算 通 过 廉价 服务 器 之 间 的 见 余 ， 使 软件 获得 站 
节点 失效 将 不 可 避免 。 随 着 云 计算 应 用 
目前 国内 外 对 于 云 计 算 可 用 性 ; 
基础 设施 以 及 虚拟 数据 
服务 提供 商 有 责任 与 用 户 拟定 好 服务 级 别 | 
是 服务 的 可 用 性 。 
能 系统 和 SLA 共同 的 关键 部 分 。 因 





增加 。 
务 提 供 商 、 

云 计 算 
重要 特性 之 一 高 


性 
ME 
o 
































后 利 




















模糊 代数 理论 解 该 模糊 方程 组 得 到 系统 转移 概率 和 各 种 








性 指标 值 。 



















































































用 性 
目前 ， 对 本 











云 计 算 可 
工具 EucaBomber， 用 于 研 
与 事件 时 间 关 联 的 概率 分 布 。 





究 








Eucalyptus 云 计算 











目前 具有 




















平 测 均 处 于 初步 阶 
心 等 方面 的 可 用 性 记 


re HJ 


领域 的 不 断 扩 大 ， 人 们 对 于 云 计 算 可 用 性 的 关 沪 


B 





99.999% 的 可 用 + 
此 ， 云 计算 使 用 




















用 性 评测 的 部 分 研究 成 果 主 要 如 下 : Souza 




















EucaBomber 的 有 效 性 。 参 考 文 献 [33] 提 出 了 两 种 分 别 





定 成 本 预算 下 的 云 朋 





障 模式 的 可 用 ' 
于 评价 不 同 特 外 





H 








R 务 可 用 性 算法 。 参 考 文 献 [34] 
务 两 种 云 服 务 模式 混合 使 用 的 计算 服务 保 





平台 的 可 靠 性 和 可 用 性 。 
同时 ， 通 过 在 私有 Eucalyptus zx EÑ 
评测 在 给 定 可 














了 性。 





I 于 使 用 廉价 服务 器 集群 ， 




















也 随 之 
已 有 研究 成 果 主 要 是 针对 云 计 算 服 











FE 测 。 
协议 〈SLA) 以 保障 服务 质量 。SLA 的 


EF 24X7 经 营 理念 已 经 成 为 高 





服务 保障 模型 来 保证 高 水 平 的 服务 可 


等 人 5 开发 一 种 故障 注入 
EucaBomber 允许 定义 
入 故障 和 修复 验证 
性 下 云 服务 的 成 本 和 给 


























|J 











FH 














5j 








障 模 式 的 可 月 








生 ， 并 使 用 离散 事 伯 


正和 策略 对 于 虚拟 数据 中 心服 务 可 





6.3.4 ”可 维护 性 评测 
1. 可 维护 性 概述 





F 进 行 仿真 验证 。 




















JER 











Hu 





对 于 软件 而 言 ， 


性 。 





nf, B 


向 系统 完成 任务 。 








影响 


一 般 而 言 ， 软 件 的 可 维护 性 
对 于 故障 率 较 高 的 可 修 系统 来 讲 ， 
A 有 政 障 发 生 ， 但 在 规定 





] 维 护 性 对 于 不 同 领域 具有 不 同 的 含义 、 训 
在 运行 / 维 
一 个 能 够 反映 软件 为 了 完成 错误 更 改 、 








通常 把 软件 


HE» 


A 网 络 模型 


评价 一 种 将 公有 云 服务 和 私有 云 月 
他 们 利用 马尔 可 夫 模 型 确定 服务 保 
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测 指 























功能 增 























FAY 
护 阶 段 对 产品 进行 的 修改 称 
加 和 删 减 、 适 应 性 
| 易 分 析 性 、 易 修改 性 、 稳 定 
可 维护 性 是 任务 成 功 的 关键 。 如 果 可 


测 方法 。 








"pn 


为 维护 。 软 件 维护 性 是 
修改 等 所 需要 的 工作 量 的 特 
性 和 易 测试 性 等 特性 构成 。 

修 系统 在 完成 任 












































的 时 间 内 修复 3 
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ZIT, J 





8 么 该 类 故障 的 发 生 并 不 会 











计算 机 系统 














的 可 维 


























护 性 可 以 采 
度 是 指 在 规定 的 条 件 下 使 用 的 系统 发 生 故 障 后 ， 在 








p. 


RE 














护 














BE. FERNER 





修复 率 等 指标 加 以 衡量 。 维 护 








规定 的 时 


间 内 完成 修复 的 概率 。 修 复 率 是 指 

















修复 时 间 已 达到 某 





Zl 
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时 刻 但 








复 时 














前 对 于 可 维 

















司 是 指 可 修复 产品 的 习 


护 性 的 分 析 方 法 主要 有 











夫 链 和 Petri 网 的 数学 





分 析 建 模 方法 


2. 云 计 算 平台 的 可 维护 性 


由 于 云 计算 平台 既 包含 软件 ， 也 包含 硬件 设备 ， 且 需要 为 用 户 提供 
可 维护 性 定义 ， 即 要 求 其 具 





Ab 
Ke 


算 平台 的 可 维护 性 定义 采用 外 























目前 对 于 云 计算 平台 的 可 维护 性 





F 均 修复 时 间 ， 其 估计 值 
基于 可 靠 性 框 
以 及 基于 时 间 和 事件 的 仿真 方法 。 


| 对 计算 机 系统 























尚未 修复 的 产品 在 该 时 刻 后 的 


位 时 间 内 完成 修复 的 概率 。 平 均 修 





为 修复 时 












































的 





评测 研究 比较 少 ， 许 多 研究 人 员 将 可 维 


图 和 故障 树 的 组 合 方法 、 








间 总 和 与 修复 次 数 之 比 。 


基于 马尔 可 












































持续 服务 。 所 以 云 计 
有 被 修复 和 被 修改 的 
护 性 评价 与 可 靠 
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性 评价 联系 综合 到 一 起 进行 研究 。 例 如 ， 参 考 文献 [36] 根 据 随机 微分 方程 和 跳 扩 散 模 型 提出 一 









































63.5 “可靠 性 评测 
1. 可 靠 性 概述 


种 面向 服务 的 可 维护 性 、 可 靠 性 评估 方法 ， 用 于 提高 云 计算 的 可 靠 性 和 可 维护 性 。 























可 靠 性 是 指 从 系统 开始 运行 到 某 个 时 刻 的 时 间 段 内 正常 运行 的 概率 。 可 靠 性 度量 标准 通 
常 有 多 个 。 一 般 对 于 可 修 系 统 、 机 器 设备 ， 常 用 可 靠 度 、 平 均 故 障 间 隔 时 间 、 平 均 修 复 时 间 、 




















可 用 度 、 有 效 寿 命 和 经 济 性 等 指标 表示 。 对 于 不 可 修 系统 或 产品 ， 常 用 可 靠 度 、 可 靠 寿 命 、 故 








障 率 和 平均 寿命 等 指标 表示 。 














对 于 计算 机 系统 而 言 ， 常 用 的 可 靠 性 量化 标准 是 指 一 个 周期 内 系统 平均 无 故障 运行 时 
间 ， 即 平均 故障 间隔 时 间 。 平 均 故 障 间 隔 时 间 通 常 以 干 小 时 或 万 小 时 进行 表示 ， 即 经 过 此 间隔 






































时 间 后 组 件 出 现 故 障 并 需要 修复 。 
2. 云 计算 的 可 靠 性 评测 


















































研究 分 析 并 提出 自己 的 见解 。 





Padmapriya 和 RajmohanF "1 认为 可 靠 性 可 以 用 来 衡量 云 服务 在 一 段 时 间 内 维持 
功能 的 能 力 。 在 云 计 算 中 ， 可 靠 性 在 用 户 与 服务 商 间 的 信息 传递 方面 扮演 重要 的 角色 














前 学 术 界 对 于 云 计 算 可 靠 性 评价 的 研究 已 经 取得 了 较 多 成 果 ， 许 多 学 者 都 对 此 进行 了 


指定 水 平 
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云 服务 是 可 重复 使 用 的 ， 且 服务 于 多 个 用 户 ， 所 以 应 该 有 一 个 定义 完备 的 质量 模型 来 

















评价 可 


靠 性 以 防止 服务 出 现 意 外 错误 。 参 考 文献 [38] 对 云 计算 系统 的 可 靠 性 进行 研究 ， 以 评估 云 计 




































































算 系 统 在 预算 和 时 间 的 约束 下 从 云端 通过 两 条 路 径 给 用 户 端 发 送 单 位 数据 的 能 力 ，3 
种 算法 对 云 计算 系统 的 可 靠 性 进行 评价 。 该 算法 使 用 基于 分 支 定 界 法 的 整定 














H 
Li 





HE 
O 


d 程 进行 计算 。 


参考 文献 [39] 认 为 适当 的 资源 分 配 是 云 计算 系统 中 提高 可 靠 性 的 一 种 替代 方法 。 他 们 将 关注 
点 放 在 资源 配置 的 方法 ， 使 用 一 种 除 考 虑 应 用 和 资源 限制 以 外 的 分 析 模 型 来 分 析 系 统 的 可 靠 
性 ， 并 将 任务 优先 结构 和 QoS 作为 应 用 约束 考虑 在 内 。 参 考 文献 [40] 提 出 一 种 云 计算 系统 的 







































































可 靠 性 评价 方法 和 相应 的 性 能 指标 ， 并 且 将 非 序 贯 蒙特 卡 罗 仿 真 用 于 系统 规模 的 云 ; 




















可 靠 性 评价 。 


64 云 服务 风险 评测 示例 





本 节 主 要 介绍 参考 文献 [41] 所 阐述 的 研究 工作 ， 即 以 ENISA dB zs 











告 的 内 容 为 对 象 ， 通 过 指标 的 量化 进行 云 服务 风险 评测 的 方法 。 








6.4.1 研究 方法 
进行 云 服务 风险 评 佑 ， 至 少 需 要 进行 如 下 三 个 方面 的 工作 : 































































































进行 云 服务 风险 评测 ， 首 先 需 要 识别 云 服 务 供应 商 所 提供 的 服务 存在 





















































Z 





那些 风险 。 由 





























里 的 研究 是 以 ENISA 提出 的 云端 服务 风险 评估 报告 的 内 容 为 对 象 ， 而 此 方 
报告 中 已 给 出 。 























(2) 量化 处 理 ”由 于 ENISA 报告 给 出 的 云端 服务 风险 要 素 都 是 定性 描述 ， 无 法 依据 它 直 
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十 算 系 统 


服务 风险 评估 报 


(1) 风险 识别 ” 云 计算 供应 商 必须 识别 风险 以 确定 它 最 好 能 够 提供 哪些 云 计算 服务 。 一 些 


供应 商 可 能 会 确定 他 们 更 喜欢 服务 某 个 特定 的 行业 ， 因 此 而 成 为 一 个 特有 行业 的 龙头 供应 商 。 





于 这 
TIARE ENISA 












































接 进行 风险 评估 ， 即 需要 将 云端 服务 风险 要 素 进 行 量化 








按照 将 风险 等 级 对 所 有 风险 进行 分 类 ， 

















zx 
o dH 











采用 问卷 调查 的 方法 进行 ， 首 先 














然后 针对 每 个 风险 设置 若干 选项 ， 每 个 选项 对 应 不 同 的 








值 。 当 调查 对 象 填 写 完 毕 后 ， 就 可 以 对 收回 资料 进行 整 








(3) 风险 评估 ”一旦 风险 已 通过 识 另 
行 计算 并 得 出 每 种 风险 的 危险 度 。 此 风险 度 可 以 作为 月 
图 6-4 给 出 了 展开 云 服务 风险 评测 的 关键 流程 。 



































理 分 析 。 

















整理 ENISA 提 出 云端 
服务 风险 要 素 


I 并 进行 量化 ， 就 可 依据 事先 定义 的 风险 评估 方法 进 








设计 调查 问卷 以 获取 云端 





服务 风险 要 素 的 先后 次 序 


量化 处 理 





风险 评估 





6.4.2 风险 辨识 





图 6-4 BREAKY 





佑 流程 


日 户 选取 云 服 务 厂商 的 依据 。 


ENISA 提出 的 云端 服务 风险 评估 报告 CCSRA 参考 了 NIST 和 ISO/IEC 27001 等 组 织 提 














出 的 报告 标准 及 专家 学 者 意见 ， 整 理 








律 风险 和 非 针 对 云端 的 风险 )、53 项 弱点 和 23 项 可 





为 高 等 级 风险 外 1。 
1. 9 项 高 等 级 风险 


bb x2, EV, 
He St x 


出 35 项 风险 (包含 政策 与 组 织 风险 、 技 术 风 险 、 法 
响 资产 ， 又 以 其 中 9 项 风险 被 评 























(DD R1. 锁 定 〈Lock-in) 云 服务 对 服务 提供 商 的 依赖 比较 强 ， 当 想 变 更 服务 供应 商 时 会 
存在 一 定 困 难 ， 甚 至 无 法 进行 移植 。 避 免 锁定 的 方法 之 
(2) R2. 失 去 治理 (Loss of Governance) 在 使 用 云 服 务 时 ， 用 户 需 要 上 传 数据 和 计算 到 
云端 服务 器 。 云 服务 提供 商会 取代 用 户 担 负 起 相关 的 安全 防护 任务 ， 即 用 户 失去 对 自己 的 数据 





























和 计算 的 控制 权 。 





(3) R3. 合 规 风险 Compliance Risks) 根据 新 巴塞 尔 协议 的 定义 ， 合 规 风险 是 指 银行 因 
未 能 遵循 法 律 法 规 、 监 管 要 求 、 规 则 、 自 律 性 组 织 制订 的 有 关 准 则 以 及 适用 于 银行 自身 业务 活 


















































是 通过 API 和 平台 技术 的 标准 化 。 





















































动 的 行为 准则 ， 而 可 能 遭受 法 律 制 裁 或 监管 处 罚 、 重 大 财务 损失 或 声誉 损失 的 风险 。 



































做 审计 。 这 可 能 暗示 有 些 承 诺 无 法 匈 现 ， 当 用 户 迁 移 到 云 | 




















如 果 云 服务 提供 者 无 法 提供 证 据 证 明 他 们 自己 符合 相关 的 要 求 ， 或 是 不 允许 顾客 对 他 们 








上 时 会 造成 风险 。 





(4) R9. 隔 离 失 效 (Isolation Failure) 这 是 虚拟 化 技术 导入 后 所 产生 的 问题 ， 昌 然 并 非 所 
有 云 都 使 用 虚拟 化 技术 ， 但 云 服务 和 虚拟 化 技术 却 常常 
(5) R10. 恶 意 内 部 人 员 CMalicious Insider) 虽然 通常 比较 少见 ， 但 内 部 员工 有 可 能 乱用 

















最 高 管理 权限 ， 而 造成 风险 。 
( 












































伴随 着 一 起 出 现 。 






































6) R21. 作 为 证 物 或 电子 凭证 (Subpoenaand E-discivery) 用 户 数据 集 储 存在 数据 中 心 的 
共享 硬件 设备 上 ， 当 法 院 强制 执行 或 者 公民 提起 诉讼 的 事件 











中 查封 云 服 务 提供 商 的 硬件 设备 
159 








时 ， 更 多 用 户 数据 存在 被 暴露 的 风险 。 





CI) R22. 管 辖 变 更 风险 (Risk From Changes of Jurisdiction) 用 户 数据 可 能 被 储存 在 多 个 








行政 区 域 ， 其 中 一 些 可 能 具有 高 风险 。 如 果 
或 独裁 的 国家 ， 服 务 器 可 能 被 当地 政府 授权 
(8) R23. 数 据 保护 风险 (Data Protectio 



































数据 中 心 是 在 高 风险 国家 ， 如 某 些 缺乏 法 律 规则 的 
突袭 ， 数 据 和 系统 会 被 迫 暴露 。 
n Risks) 在 通常 情况 下 ， 云 用 户 很 难 有 效 确认 云 










































































服务 提供 者 的 数据 处 理 实际 状况 ， 也 很 难 确 



































认 这 些 数据 是 否 被 合法 处 理 。 























(9) R26. 网 络 管理 风险 (Network Management) 浏览 器 问题 、 网 络 拥塞 、 连 接 错 误 等 。 


2. 与 9 项 高 风险 相关 的 29 项 弱点 











(1) V1. 授 权 认 证 和 计 费 漏洞 (AAA Vulnerabilities) 
(2) V5. 虚 拟 化 漏洞 CHypervisor Vulnerabilities) 
(3) V6. 使 用 者 间 资 源 隔 离 缺乏 漏洞 (Lack of Resource Isolation? 






































(4) V7. 使 用 者 间 缺 乏 商 誉 的 独立 漏洞 
(5) V10. 不 能 在 加 密 状 态 下 处 理 数据 〈 

















(Lack of Reputational Isolation ) 
Impossibility of Processing Data in Encrypted Form) 


(6) V13. 缺 乏 技术 标准 与 标准 解决 方案 (Lack of Standard Technologies and Solutions) 
C) V14. 缺 乏 有 源 代码 托管 协议 (No Source Escrow Agreement? 
(8) V16. 缺 乏 控 制 漏洞 评估 过 程 (No Control on Vulnerability Assessment Process) 















































(9) V17. 可 能 在 内 部 / 云 网 上 发 生 的 扫描 (Possibility that Internal/Cloud Network Probing 


will Occur) 





(100 V18. 使 用 者 可 能 会 对 邻居 的 资源 做 侦 测 (Possibility that Co-residence Checks will be 


Performed ) 














QD V21. 合 约 没 有 写 清 楚 责任 归属 (Synchronizing Responsibilities or Contractual Obligations 














External to Cloud ) 
(12) V22. 跨 云 应 用 隐 含 相依 关系 (Cro 























ss-cloud Applications Creating Hidden Dependency) 





(13). V23. 服 务 水 平 协议 可 能 会 在 不 同 利害 关系 人 间 产 后 互 斥 (SLA Clauses with Conflicting 








Promises to Different Stakeholders ) 











(14) V25. 对 用 户 不 提供 审核 或 认证 (Audit or Certification not Available to Customers? 
(15) V26. 认 证 计划 不 合适 云端 架构 CCertification Schemes not Adapted to Cloud 








Infrastructures ) 


(160. V29. 数 据 被 储存 在 多 个 行政 区 域 日 缺乏 透明 度 (Storage of Data in Multiple Jurisdictions 





and Lack of Transparency about THIS) 











(17) V30. 缺 少数 据 储存 所 在 行政 区 域 的 相关 信息 (Lack of Information on Jurisdictions) 
(180. V31. 使 用 者 条 款 缺 乏 完 整 性 与 透明 度 (Lack of Completeness and Transparency in 


Terms of Use) 























(19) V34. 云 服务 提供 商 组 织 里 的 角色 与 责任 定义 不 明确 (Unclear Roles and Responsibilities ) 






























































(20) V35. 云 服务 提供 组 织 里 的 角色 职责 实行 不 确定 (Poor Enforcement of Role Definitions) 
(21) V36. 相 关 当 事 人 知道 太 多 非 必 要 的 细节 (Need-to-know Principle not Applied? 
(22) V37. 不 适当 的 物理 安全 处 理 CInadequate Physical Security Procedures ) 



























































(23) V38. 错 误 配 置 (Misconfiguration) 














(24) V39. 系 统 或 操作 系统 漏洞 (System or OS Vulnerabilities) 

















(25) V41. 缺 乏 或 很 差 的 持续 营运 与 灾难 
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EA nix) (Lack ofor a Poor and Untested, Business 








Continuity and Disaster Recovery Plan) 








(Q6) V44. 资 产 拥 有 权 不 而 
































f€ (Unclear Asset Ownership) 


(27) V46. 可 供 选 择 的 云 服务 商 有 限 (Poor Provider Selection) 




















(28) V47. 缺 乏 供 应 商 见 余 (Lack of Supplier Redundancy) 
(29) V48. 应 用 程序 漏洞 或 失策 的 补丁 


Management) 


3. 与 9 项 高 风险 相关 的 12 项 资产 





(D Al. 公 司 声誉 (Company Reputation) 


(2) A2. 用 户 声誉 (Customer Trust) 

忠诚 度 和 经 验 (Employee Loyalty and Experience? 
(4) A4. 知 识 产 权 (Intellectual Property) 

(5) A5. 敏 感 的 个 人 资料 (Personal Sensitive Data) 


(3) A3. 员 











(6) A6. 使 




















(7) A7. 使 
(8) A8. 

















(112 A16. 网 络 
(12) A20. 认 证 























(Network) 
(Certification ) 


4. 风险 、 弱 点 与 资产 关系 








pas 


AY 











=i 
=j 


不 同 弱点 、 风 险 和 资产 对 应 关系 见 表 6-7. 


T JH 








用 者 及 服务 提供 者 的 个 人 资料 (Personal Data) 
用 者 及 服务 提供 者 的 关键 个 人 资料 (Personal Data - critical) 
| 常 资料 CHR Data) 
(9) A9. 需 要 即时 提供 的 服务 (Service Delivery-real Time Services) 


(10) A10. 服 务 提供 (Service Delivery) 


E CApplication Vulnerabilities or Poor Patch 




























































































表 6-7 云端 计算 高 等 级 风险 、 弱 点 与 资产 
弱 点 A E 资产 
V13、V31、V46、V47 RI Al. A5, A6, A7, A9. AIO 
Eg DP E MEUM SN R2 Al. A2, A3. AS. A6, A7. A9. AIO 
VI3. V25, V26, V29, V30, V31 R3 A20 
V5, V6, V7, V17, V18 R9 Al. A2. A5, A6. A7. A9. A10 
Vl. VIO. V34, V35, V36, V37, V39. V48 R10 Al. A2, A3, A4, AS. A6, A7. A8. A9, AIO 
V6, V38, V39, V41 R26 Al. A2, A3, A9, Al0, AI6 
V6, V29, V30 R21 Al. A2, AS. A6, A7. A9. A10 
V29、V30 R22 Al. A2, A5, A6. A7. A9. A10 
V29、V30 R23 Al. A2, A5, A6. A7. A9. A10 
643 ”相关 性 计算 
进行 量化 风险 评估 的 方法 很 多 ， 如 神经 网 络 、 膛 辑 回 归 、 失 误 树 分 析 、 事 件 树 和 路 径 分 
析 等 。 
这 里 采用 使 用 皮尔 森 相 关 性 (Pearson Correlation) 计算 弱点 、 风 险 和 资产 各 因子 间 的 影 
响 系 数 〈 即 权重 )。 
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皮尔 森 相 关系 数 反 映 了 两 个 变量 之 间 的 线性 相关 程度 ， 取 值 在 [-1,1] 之 间 。 当 两 个 变量 的 
线性 关系 增强 时 ， 相 关系 数 趋 于 1 或 -1;， 当 一 个 变量 增 大 ， 另 一 个 变量 也 增 大 时 ， 表 明 它 们 之 
间 是 正 相 关 的 ， 相 关系 数 大 于 0: 如果 一 个 变量 增 大 ， 男 一 个 变量 却 减 小 ， 表 明 它们 之 间 是 负 
相关 的 ， 相 关系 数 小 于 0;， 如 果 相 关系 数 等 于 0， 表明 它们 之 间 不 存在 线性 相关 关系 。 

对 样本 数据 而 言 ， 皮 和 尔 森 积 矩 相关 系数 的 定义 如 下 : 样本 数据 的 皮尔 森 积 矩 相关 系数 〈 一 般 
简称 为 皮尔 森 相 关系 数 ) 为 样本 协 方差 除 以 x 的 标准 差 与 y 的 标准 差 之 乘积 。 计 算 公式 为 
cov(x,y)  M(xy)- M(X)M (y) 
0,0, 0,6, 










































































R= 





e [-1,1] 






































KrB, covGo VÆRS x 和 y 的 协 方差 ，o 表示 x ERN; MORR x 的 算术 平均 值 。R>0 
表示 x 与 y 正 相关 ; R<0 表示 x 5 y WIAR; R=0 表示 两 者 无 相关 性 。R 的 绝对 值 越 接近 1, 
表示 两 要 素 的 关系 越 密 切 ， 越 接近 0， 表示 两 要 素 的 关系 越 不 密切 。 


6.4.4 评估 方法 

评估 方法 是 ， 从 参考 文献 [12] 中 找 出 各 弱点 、 风 险 和 资产 对 应 关系 ， 再 由 参考 文献 [42] 
所 涉及 的 问卷 将 各 对 应 关系 的 权重 计算 出 来 。 其 中 ， 问 卷 内 容 针 对 风险 、 弱 点 和 资产 的 危险 
程度 进行 评估 ， 其 中 每 个 问题 答案 量化 为 1 一 10 之 间 的 一 个 整数 值 即 相对 危险 值 。 需 特别 说 
明 的 是 风险 与 弱点 的 符合 程度 越 高 代表 该 风险 发 生 率 越 高 ， 而 资产 安全 度 与 相对 和 危险 度 越 高 
代表 越 安全 。 具 体 来 讲 如 下 : 

1) 以 ENISA 提出 的 CCSRA 报告 中 相关 专家 评估 为 高 等 级 的 风险 以 及 对 应 弱点 和 资产 作 
为 风险 评估 模型 ， 即 资产 对 相对 危险 度 的 皮尔 森 相 关系 系数 〈 见 表 6-8)、 弱 点 对 风险 的 皮尔 
森 相 关系 数 〈 见 表 6-9)、 风 险 对 资产 的 皮尔 森 相 关系 数 〈 见 表 6-10). 

2) 依据 收回 的 问卷 ， 利 用 上 节 所 介绍 的 皮尔 森 相 关系 数 公 式 ， 计 算得 出 对 应 资产 、 弱 
点 、 风 险 和 总 分 之 间 的 权重 ， 分 别 见 表 6-8 一 表 6-10 中 系数 一 列 的 值 。 其 中 大 于 零 表 示 正 癌 
关系 ， 小 于 零 则 是 负 癌 关系 。 
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表 6-8 资产 对 总 分 的 皮尔 森 系数 






































WE qe R mS 相对 危险 度 
Al 0.777429 
A2 0.793538 
A3 0.760062 
A4 0.736031 
AS 0.937149 
A6 0.92192 
AT 0.890641 
A8 0.922844 
A9 0.852595 

A10 0.792962 
A16 0.91695 
A20 0.792962 
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表 6-9 弱点 对 风险 的 皮尔 森 相 关系 数 





























































































































39 系 数 风 S 
VI3 0.643308 
V31 0.152965 
RI 
V46 0.121682 
V47 -0.31388 
V13 0.301515 
V14 0.587683 
V16 0.538764 
V21 0.255858 
V22 -0.12849 
V23 0.142596 
V25 0.218795 
R2 
V26 -0.03052 
V29 0.536722 
V30 0.304881 
V31 0.517488 
V34 0.304161 
V35 0.557318 
V44 0.433519 
VI3 -0.17564 
V25 -0.36637 
V26 0.019895 
R3 
V29 0.35926 
V30 0.151065 
V31 0.48967 
V5 0.588155 
V6 0.478238 
V7 0.39211 R9 
V17 0.451577 
V18 0.481582 
VI 0.757214 
VIO 0.375566 
V34 0.067981 
V35 0.214882 
R10 
V36 0.168191 
V37 0.317537 
V39 0.36618 
V48 0.814367 
V6 0.739145 
R26 
V38 0.413864 
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弱点 R 5 风 E 
V39 0.344509 
R26 
V41 0.378374 
V6 0.378617 
V29 -0.30274 R21 
V30 —0.38669 
V29 0.555071 
R22 
V30 0.479461 
V29 —0.29632 
R23 
V30 0.209757 
表 6-10 风险 对 资产 的 皮尔 森 相 关系 数 
风险 R 数 资产 
R10 0.500585 
RI 0.158755 
R2 0.445208 
R9 0.376986 
Al 
R26 0.5418 
R21 0.160876 
R22 0.675866 
R23 0.424022 
RI 0.257163 
R2 0.289274 
R9 0.400158 
R10 0.414453 
A10 
R26 0.575568 
R21 0.419217 
R22 0.475465 
R23 0.705319 
R26 0.339754 A16 
R10 0.594418 
R2 0.486305 
R9 0.278904 
R26 0.556504 A2 
R21 0.10217 
R22 0.703789 
R23 0.395361 
R3 0.384183 A20 
R2 0.569781 
A3 
R10 0.70873 
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( 续 ) 
NT 系 Di 资 
风 om Z H p 

R26 0.702355 A3 
R10 0.645739 A4 
RI 0.625768 
R2 0.340776 
R9 0.080147 
R10 0.465456 A5 
R21 0.67007 
R22 0.594831 
R23 0.234668 
RI 0.331336 
R2 0.08977 
R9 0.04726 
R10 0.254995 A6 
R21 0.327086 
R22 0.319142 
R23 0 
RI 0.22897 
R2 0.054632 
R9 0.041768 
R10 0.26113 A7 
R21 0.287678 
R22 0.316384 
R23 0.252886 
R10 0.258715 A8 
RI 0.356348 
R2 0.126645 
R9 0.2159 
R10 0.141404 

A9 
R26 0.172241 
R21 0.123753 
R22 0.302498 
R23 0.181509 


6.4.5 ”风险 评估 


为 了 进一步 分 析 云 服务 风险 的 发 生 率 和 风险 严重 度 程 度 。 计 算 风 险 的 发 生 率 和 风险 严重 





度 程度 的 方法 如 下 ; 


























风险 发 生 率 = > (各 风险 对 应 弱点 分 数 ) 





风险 严重 度 = > (各 风险 对 应 资产 权重 )x( 该 资产 对 相对 危险 度 权 习 
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以 风险 RI 为 例 ， 从 表 6-9 可 以 得 知 ， 其 对 应 弱点 的 权重 有 4 个 ， 分 别 为 0.643308. 
0.152965. 0.121682 和 -0.31388， 所 以 该 风险 的 发 生 率 就 是 4 个 数字 之 和 ， 即 R1 风险 发 生 率 


=V13 分 数 x0.643308+…+V47 分 数 x(-0.31388)=0.604075。 3X H 


数 都 设 定 为 1 分 。 





同样 ， 从 表 6-9 可 以 得 知 ， 风 险 RI 对 应 的 资产 的 权重 有 
危险 度 的 权重 ( 见 表 6-8)， 再 相 加 便 得 到 风险 严 习 



























































EHE, BẸ 


为 了 计算 方便 ， 可 以 把 弱点 分 





6 个 ， 分 别 乘 上 各 自 资 产 对 相对 


P. 人 





R1 风险 严重 度 =0.158755x0.777429+…+0.356348x0.852595 = 1.726995 
关于 更 多 的 实现 细节 读者 可 以 阅读 参考 文献 [12,42]。 








6.5 Saas 云 服务 评估 














为 有 
uri 





保 使 




















6.5.1. SaaS 风险 评测 现状 



































虽然 目前 有 关 Saas 
据 表明 ， 在 美国 











示 有 


通过 使 用 SaaS 服务 ， 企 业 能 够 获得 
Ko SaaS 可 能 比 内 部 部 署 的 服务 更 便宜 、 更 快 且 更 灵活 ， 但 SaaS 同时 也 带 来 风险 。 
或 来 越 多 ， 并 逐步 在 领域 内 得 到 应 用 。 但 是 有 数 
E 式 的 风险 管理 计划 。 在 那些 表 
风险 管理 计划 的 公司 

















巨大 的 利益 ， 















































风险 安全 评估 的 研究 起 
目前 39% 的 受 访 SaaS 企业 表示 他 们 没有 



































FH. SaaS 的 使 





者 可 使 用 高 质量 的 SaaS 服务 ， 评 估 SaaS 云 服务 质量 是 业界 非常 重要 的 话题 














时 间 而 增 


HREM 





























P. A 96% 的 公司 解决 了 操作 风险 ， 
61% 的 公司 解决 了 财政 风险 亡 ]。 在 云 计算 关系 的 特定 情况 下 ,上 











个 





83% 的 





要 的 ， 其 中 企业 用 户 和 云 计 算 供应 商都 必须 拥有 成 熟 的 风险 管理 计划 。 








理 























SaaS 























过 宽泛 或 者 没有 考 








E、 有 周期 性 报告 以 及 维持 低 风 险 状 态 定量 证 据 的 计划 来 订 
的 风险 源 于 它 的 多 租户 和 服务 透明 性 差 等 。 目 前 存在 很 多 为 选择 现成 的 或 者 为 
定制 的 软件 或 框架 而 建立 的 标准 来 评估 云 服务 风险 ， 
虑 到 SaaS 的 一 些 特殊 的 需求 。 男 外 ， 只 有 将 SaaS. 安全 风险 评估 方法 应 




















E 


HR, 




















评测 机 构 ， 
务 提 供 商 做 参考 ， 


以 此 来 降低 云 服 务 过 程 ! 











E 明 的 。 





但 是 这 些 标准 




















及 务 双方 的 风险 管理 工作 都 是 必 


在 具体 应 用 到 


公司 解决 了 合 规 风险 ， 








成 熟 度 是 通过 一 个 有 管 








j^ 
X 








SaaS 中 时 





8 可 以 成 立 第 三 方 风险 说 



























































上 讲 是 可 行 的 ， 但 是 关于 运用 什么 方法 如 何 对 云 计 算 过 程 中 的 风险 进行 评价 需要 人 们 进 
， 那 么 相应 的 风险 评估 报告 对 于 用 户 及 时 规避 风险 以 及 正确 选 
期 对 云 计算 进行 有 效 的 安全 风险 评估 也 是 很 有 


























必要 的 。 


研究 。 如 果 风 险 评价 方法 准确 
择 服 务 提 供 商都 将 带 来 很 大 的 帮助 。 因 此 ， 定 





















































Fd 到 




















实践 中 ， 对 风险 进行 管理 才能 避免 风险 ， 从 而 解决 云 安 全 问题 ， 
实现 SaaS 云 的 长 远 发 展 。 


ERER, AWRA REN 


从 





民 本 上 提高 云 计算 服务 质 


FE 测 机 构 ， 即 尝试 成 立 第 三 方 风险 
监测 和 评价 服务 商 所 提供 云 服 务 的 风险 状况 ， 发 布 风险 评估 报告 ， 为 用 户 选择 服 
为 用 户 带 来 的 风险 问题 。 











显然 ， 这 种 方案 从 理论 











6.5.2 Saas 风险 评估 指标 


在 云 计算 时 代 来 临 后 ， 许 多 大 型 的 软件 公司 ， 者 
比 维护 费 的 软件 销 
F 营 运 模式 革命 性 的 改变 。 


件 公司 从 传统 的 一 次 卖 风 
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IAM 








1 软件 、 后 续 收取 





AE Hj 


周期 都 以 提供 服务 收取 费用 的 Saas 云 服务 ， 是 软 伯 


























步 





























积极 地 向 SaaS 云 服务 提供 商 转 型 。 软 





售 模式 ， 转 为 整个 合约 
只 有 这 样 ， 才 


























i69 5| rp LA J 

































































软件 产品 或 解决 方案 放 到 云 让 





用 户 。 











尽管 SaaS 云 服务 已 经 普及 ， 但 目前 尚 缺 乏 一 套 完整 的 、 客 观 的 评估 机 制 。 鉴 了 









































Fb, 2$ 








成 为 其 长 期 用 户 的 典型 云端 服务 企业 。 若 只 单纯 地 把 原 有 的 
计算 环境 中 ， 并 不 会 得 到 中 小 企业 的 青睐 而 成 为 其 忠诚 的 长 期 


考 


文献 [44] 提 出 一 套 针对 SaaS 云 服 务 质量 进行 评估 的 成 熟 度 模型 。 该 模型 是 以 建立 一 套 从 云 符 












































合 度 、 治 理 强 度 与 服务 深度 三 个 方面 ， 对 SaaS 云 服 务 进行 评估 的 指标 。 其 中 云 符合 度 为 8 项 






























































1. 云 符合 度 评估 指标 
(1) 随时 随地 通过 任何 网 络 设备 存 取 


(2) 
(3) 
(4) 
(5) 
(6) 
(7) 
(8) 
2. 

(1) 
(2) 
(3) 
(4) 
(5) 

















快速 重新 部 署 
可 被 监控 与 量 
随 需 自助 服务 
资源 池 共 享 
可 配置 元 数据 
多 租户 

可 延展 











数据 安全 
软件 安全 
持续 营运 
遵循 法 规 
安全 解决 方案 


























治理 强度 评估 指标 


3. 服务 深度 评估 指标 


(1) 
(2) 
(3) 
(4) 
(5) 


《6) 将 超级 用 户 转化 成 品牌 


能 够 发 气 和 辨识 潜在 有 


RE 


测 的 服务 


Ha 





PEETER RR 
能 主动 掌握 濒临 退 租 风险 的 用 户 状态 
根据 用 户 使 用 行为 数据 分 析 以 提升 服务 


























注重 用 户 体验 








设计 


H^ 





和 忠诚 传播 者 


(7) 提供 信息 透明 度 高 的 服务 条 球 


《8) 建立 以 用 户 为 

(9) 建构 财务 稳健 的 营 ; 

每 个 指标 给 定 总 分 ， 
得 分 达标 率 百分比 值 ， 
量 的 方法 ) 的 参考 依据 。 
其中 :OD 云 符合 度 评估 指标 满分 为 24 分 ， 每 项 评估 指标 最 高 分 数 为 3 分 ， 前 项 准则 为 后 
F， 如 满足 得 分 准则 1 得 1 分 ， 满 足 得 分 准则 1 与 2 可 得 2 分 ， 以 此 类 推 
成 熟 度 指标 ， 每 一 项 指标 包含 3 个 子 指标 ， 
强度 评 佑 指标 满分 为 15 分 ， 满 足 每 个 子 指标 的 给 分 准则 要 求 可 得 1 分 ， 否 

















项 准则 的 必要 条 从 
QUSS Y 
15 个 子 指标 ， 治理 












































以 此 











P 心 的 组 








fou 


ZUR 













































































F 估 指标 分 为 五 大 项 云端 服务 治 到 























评估 指标 ， 治 理 强度 可 归纳 出 项 评估 指标 ， 服 务 深度 则 为 9 项 评估 指标 ， 总 共 22 项 评估 
标 构成 SaaS 云 服务 质量 成 熟 度 指标 的 完整 体系 。 
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指 


民 据 被 评 案例 的 具体 得 分 之 和 除 以 总 分 ， 可 得 出 各 评分 方面 的 指标 
F 估 成 熟 度 一 种 用 于 评价 软件 承包 商 能 力 并 帮助 改善 软件 


pi 


dt 


P3 



























































则 以 0 分 计算 ，@ 服 务 深度 评估 指标 包含 9 项 指标 ， 服 务 深度 评估 指标 满分 为 27 分， 每 项 评 
估 指 标 最 高 分 数 为 3 分 ， 前 项 准则 为 后 项 准则 的 必要 条 件 ， 如 满足 给 分 准则 1 得 1 分 ， 满 足 给 
分 准则 1 与 2 可 得 2 分 ， 以 此 类 扒 

关于 更 多 的 实现 细节 读者 可 以 阅读 参考 文献 44]。 
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近年 来 ， 云 计算 以 其 诸多 优势 成 为 各 方面 关注 的 热点 。 越 来 越 多 的 企业 与 个 
数据 转移 到 云 上 。 随 着 外 包 计算 和 外 包 数 据 机 会 的 增多 ， 人 们 对 云 服 务 提供 商 的 云 平 台所 提供 
的 安全 保证 机 制 的 关注 也 日 益 增 加 。 本 章 重点 介绍 具有 代表 性 的 一 些 云 计 算 平台 (如 
Google、OpenStack 和 Windows Azure 等 ) 所 采取 的 安全 措施 。 























14 OpenStack 的 安全 措施 


OpenStack 是 NASA 和 Rackspace 共同 合作 的 开源 项 目 。 此 项 目 保 持 了 与 Amazon. EC2 的 

















人 将 应 用 和 



























































兼容 性 ， 并 重点 关注 

















大 规模 扩展 下 的 灵活 云 部 署 问题 。 





7.4.4 OpenStack 概述 





OpenStack'!f£—^ H Rackspace 和 NASA 共同 发 起 的 、 全 球 开发 者 共同 参与 

















与 AWS 完全 兼容 的 
OpenStack 项 目 从 2010 年 10 








版 本 是 在 2015 年 4 


在 在 OpenStack 不 同 版 本 的 演进 过 程 中 ， 其 系统 功能 不 断 完善 。 以 安全 功能 方面 的 认证 授权 
Ï, OpenStack 的 各 子 项 目 如 Nova. Swift 均 使 月 
和 名 为 “Swauth” 的 身份 验证 和 用 户 授权 方法 。 从 第 五 版 本 开始 ， 





功能 为 例 ， 在 第 五 版 本 之 前 
Zi, Swift 组 件 中 使 用 一 科 












































W laas 云 平 台 项 目 。 





























HABI 








发 的 一 个 





月 开始 ， 大 约 每 半年 发 布 一 个 正式 版 本 。OpenStack 的 最 新 


“Kilo” 的 版 本 。 这 是 OpenStack 第 11 个 版 本 。 























Hee 自 独立 的 认证 系 






































原来 各 自 独 立 的 认证 
































系统 转变 为 全 面 支持 Keystone 认证 。 
作为 开源 云 平 台 ， 虽 然 OpenStack 上 良好 的 记录 ， 但 仍 存在 不 少 漏洞 ， 因 





















































OpenStack 发 展 过 程 ! 需 重 点 考 5 RN 
































范围 ， 以 及 OpenStack 用 户 在 使 



































此 其 安全 是 





问题 之 一 。OpenStack 的 研究 人 员 在 OpenStack 安全 问题 





























研究 方面 进行 积极 探索 。OpenStack | 在 其 发 布 的 安全 指南 中 明确 指出 OpenStack 的 安全 




















OpenStack 中 存在 安全 漏洞 的 方案 。 











文献 [2] 分 析 私 有 或 公有 网 络 的 安全 漏洞 ， 针 对 虚拟 机 实 




















设 并 验证 其 正确 性 。 
























































过 程 中 存在 的 各 种 安全 问题 ， 但 是 并 没有 直接 给 出 解决 


许多 研究 人 员 从 云 平 台 的 整体 安全 性 角度 出 发 ， 在 相关 的 
OpenStack 安全 方面 进行 研究 ， 针 对 部 分 组 件 中 存在 的 漏洞 ， 提 出 改进 方向 或 建议 。 例 如 参考 


















































7.1.2 RN 平台 


OpenStack ^f 











是 一 个 开源 项 目 























， 是 旧 在 提供 基础 设施 即 服务 的 云 平台 ， 可 扩 
最 大 的 特点 。 Oria 是 一 个 纯 laaS 服务 模型 ， 它 的 目的 是 让 任何 组 织 都 可 以 通 











和 标准 化 的 硬件 设施 来 创建 和 提供 云 计算 服务 。OpenStack 也 可 用 作 建 立 防火 墙 内 
提供 机 构 或 企业 内 各 部 门 共 享 资源 1。 





WII OpenStack 云 节点 ， 提 出 3 ME 


展 性 强 是 其 


Mit OpenStack 





的 私有 云 ， 
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1. OpenStack 核心 组 件 








OpenStack 是 由 儿 个 主要 组 件 组 合 起 来 完成 一 些 具 体 的 工作 。OpenStack 的 Kilo 版 主要 | 


以 下 核心 组 件 或 服务 组 成 : 





CD 计算 服务 (Nova) Nova 是 OpenStack 的 核心 部 分 ， 旨 在 提供 
管理 虚拟 机 实例 的 整个 生命 周期 ， 根 据 
内 存 、 网 络 适配器 和 硬盘 驱动 器 等 月 
它 的 实时 虚拟 管理 
组 受 支 持 的 虚拟 机 管 


=] 























计算 平台 ， 用 于 为 单个 用 户 或 群 组 
务 。 它 创建 一 个 抽象 层 ， 让 CPU. 
化 ， 并 具有 提高 利用 率 和 
和 重新 引导 功能 ， 这 是 通过 集成 




















Ei 










































































动 化 的 功能 。 








AE 


MB 
CAPD 以 编 

















程 方式 存储 和 管理 文件 。 





















































Un. 

















Ei 











里 程序 来 实现 的 。 


























点 上 缓存 VM 镜像 ， 实 现 更 快 的 配置 。 在 运行 镜像 




















时 ， 可 以 通 




















一 个 IaaS 的 可 伸缩 云 
户 需求 提供 虚拟 服 
有 务 器 资源 实现 虚拟 




















调整 大 小 、 挂 起 、 停 止 





另外 ， 它 还 可 以 在 计 
过 应 用 程序 编程 接口 





























它 的 架构 与 功能 类 似 于 EC2 和 Rackspace Cloud Servers。Nova 本 身 不 包含 Hypervisors， 














个 能 3 





而 是 定义 
(2) 镜像 服 
务 ， 同 时 还 具有 快照 和 备份 功能 。 
用 户 可 和 采 



































像 、 删 除 镜像 和 
(3) 对 象 存储 (Swift) 














多 种 格式 为 服务 提供 私有 和 
V)、VDI (VirtualBox)、VMDK (VMware)、QCOW2 (QEMU) 等 。 
编辑 镜像 基本 信息 的 RESTful API. 
Swift 对 应 如 














读 取 ， 可 
用 于 存储 邮件 、 照 片 和 文档 
Ff Java. Cf, PHP. Python 和 Ruby 等 。 
(4) 数据 库 服 务 CTrove) 为 
系数 据 库 引 擎 服务 。 








^ 
^o 
























































C55 数据 处 理 服务 (Sahara) Sahara 的 基本 功能 是 允许 OpenStack $x 
HE. Sahara 有 两 种 使 用 模式 : 中 基本 的 大 数据 集群 应 用 模式 ， 也 称 为 基本 模式 ，@ 通 过 EDP 
即 服务 模式 ， 也 称 为 EDP 模式 。 基 本 模式 要 求 用 户 











Ut NAH 

















区 动 原 有 底层 架构 与 虚拟 化 操作 系统 沟通 的 机 制 |。 
务 (Glance) ”Glance 的 主要 功能 是 为 虚拟 硬盘 镜像 提供 发 现 、 注 册 和 交付 服 





以 为 Glance 提供 镜像 存储 和 卷 备 份 服务 。Swift 项 目 最 初 | 
它 提供 RESTful API 用 于 上 传 和 


JJ E OpenStack 的 环境 中 提供 






































Rackspace 


公共 镜像 ， 这 些 格 式 包括 VHD (Microsoft Hyper- 
Hiet 














t 用 于 创建 /上 传 镜 








5 马 逊 的 S3， 通 过 键 值 对 的 方式 实现 对 象 文件 的 存储 











发 。 它 可 以 














站 载 文件 到 集群 。 支 持 语 言 包 























可 打 


展 和 可 靠 的 关系 和 非 关 


4k 


f 





牛 控制 Hadoop 























拟 机 、 建 立 集群 ， 技 术 门 槛 较 高 ， 而 EDP 模式 类 
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和 | 




















(6) 网 络 
供 网 络 连 接 服务 。 





























服务 (Neutron) Neutron 提供 


f 操 作 和 Hadoop 业务 操作 进行 封装 ， 暴 露 给 用 户 




















I 








以 于 AWS EMR H 
的 只 是 简单 的 接口 。 
局 域 网 的 
用 户 可 以 定义 网 络 、 子 网 和 路 由 器 ， 配 置 














RS, 






































己 从 底 


能 力 ， 为 OpenStack 
DHCP, DNS 和 负载 均衡 等 ， 网 














层 搭建 Hadoop 虚 
4 


us 





对 底层 的 Hadoop 
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他 服务 提 








络 支 持 GRE 和 VLAN。 插 件 架 构 支 持 许 多 主流 的 网 络 厂家 和 技术 ， 如 OpenvSwitch， 然 后 


H 








地 址 。 
CI) 块 存储 (Cinder) 
创建 和 管理 ， 为 虚拟 机 提供 
































向 这 些 网 络 分 配 卫 地 址 和 VLAN。 动 态 P 地 址 允许 用 户 








P 
HJ 








VM 分 配 和 再 分 配 





[5i 











定 的 外 部 IP 


Cinder 与 亚马逊 的 EBS 弹性 云 便 盘 类 似 ， 实 现 了 对 块 存储 的 
t 云 硬盘 服务 。 与 Cinder 一 起 使 用 的 最 常见 存储 是 Linux 服务 


器 存储 。 云 用 户 可 通过 仪表 板 管理 他 们 的 存储 需求 。 该 系统 提供 了 用 于 创建 块 设备 、 附 
。 男 外 ， 也 可 以 使 用 快照 功能 来 备份 




















加 块 设备 到 服务 器 和 从 服务 器 分 离 块 设备 的 接 


Cinder 卷 。 


(8) 遥测 服务 〈Ceilometer) ”Ceilometer 负责 收集 OpenStack 内 部 发 生 的 几乎 所 有 事 
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— 


iE 





为 计 费 和 监控 以 及 其 他 服务 提供 数据 支撑 。 


件 运 行 











(9) 编排 服务 (Heat Heat 提供 

































































种 通过 模板 定义 的 协同 部 署 方式 ， 实 现 云 基础 设施 软 
环境 (计算 、 存 储 和 网 络 资 源 ) 的 自动 化 部 署 。 
C100 面板 服务 (Horizon) Horizon 是 基于 





OpenStack API 接口 开发 的 以 Web 方式 展现 的 


服务 ， 用 于 简化 用 户 对 服务 的 操作 ， 如 局 动 实例 、 分 配 卫 地 址 和 配置 访问 控制 等 。 


子 集 ， 


功能 才 可 以 


QD 身份 服务 (Keystone) Keystone 是 为 OpenStack 的 所 有 项 目 
务 规则 和 服务 令 牌 的 : 


务 ， 








如 可 插 拔 认 证 模块 (PAM)、 轻 型 目录 访问 
现 多 种 形式 的 身份 验 记 











FE， 包 括 简单 的 月 

















(12) 裸 金属 服务 〈Ironic) Ironic 提供 裸 金属 服务 基 三 





总 之 ，OpenStack 一 直 努 力 使 每 个 项 目 









































F， 其 他 组 伯 


开 将 它 与 提供 类 似 或 互补 功能 的 划 
Keystone 是 必 选 组 伯 












































提供 统一 身份 验证 、 





服 











功能 。Keystone 本 身 没有 提供 身份 验证 ， 但 它 可 以 集成 其 他 各 种 目录 服 
协议 (LDAP) 等 。 通 过 这 些 插件 ， 它 能 够 实 
有 户 名 密码 凭据 以 及 复杂 的 多 因子 系统 。 

设施 服务 。 

尽 可 能 独立 ， 这 使 得 用 户 可 以 选择 只 部 署 一 个 功能 
他 系统 和 技术 相 和 集成。 其 中 Nova. Glance 和 



































是 可 选 的 。 然 而 ， 全 功能 的 私有 云 很 可 能 需要 使 用 几乎 所 有 




















2. OpenStack 与 AWS 的 关系 








由 于 OpenStack 定位 是 





F= AWS 的 





E 常 运作 ， 而 且 各 元 素 需 要 被 紧密 地 集成 在 一 起 。 








是 对 应 的 ，OpenStack 与 AWS 的 映射 关系 见 表 7-1。 
表 7-1 OpenStack 与 AWS 的 映射 关系 








开源 实现 ， 所 以 OpenStack HIRS W RARAN Sih 






























































OpenStack 与 AWS 最 大 的 不 同 在 了 
OpenStack 则 是 建立 IaaS 服务 。AWS 是 


























AWS OpenStack 
单 性 虚拟 机 CEC2) Nova 

zi (S3) Swift 

弹性 云 硬 盘 (EBS) Nova-volume/Cinder 

负载 均衡 (ELB) Atlas-LB OpenStack 外 围 项 

控制 台 (Console) Dashboard Horizon 界面 访问 控制 台 

虚拟 私有 云 (VPC) Quantum 网 络 即 服务 

身份 管理 与 认证 (IAM) Keystone 





F 服务 定位 。AWS 让 使 用 者 使 用 IaaS 服务 ， 而 
由 度 很 高 的 TaaS ^F 























。 利 上 





| 虚拟 机 





几乎 可 以 搭配 各 











种 Amazon 云端 服务 。 而 OpenStack 最 大 的 优势 在 于 它 可 以 兼容 Amazon 平台 上 的 AMI 格 


式 。 这 样 用 户 就 可 以 使 用 OpenStack 部 署 不 同 的 面向 Iaag 的 云端 平台 。 


典型 的 OpenStack 实现 将 会 外 
架构 中 。 
其 中 ，Horizon 是 图 形 月 


E 


作 负 载 的 流程 。 




















3. OpenStack 组 件 关 系 






































JP H, 管理 员 HJ 





SAPUNA ES, Pet 











日 件 即 Neutron 定义 提供 

















以 使 








] 它 来 管理 分 配给 

















形成 大 多 数组 件 。 图 7-1 所 示 为 一 个 比较 典型 的 OpenStack 























JP IA. Keystone 


























它 的 计算 实例 通常 需要 进行 某 种 形式 




















组 件 之 间 连 接 的 网 络 。Nova 负责 处 

















HET 








的 持久 存储 ， 可 以 是 基于 块 的 (Cinder) 








或 基于 对 象 的 (Swift)。Nova 还 需要 一 个 镜像 来 启动 一 个 实例 。Glance 将 会 处 理 这 个 请 求 ， 


它 可 以 有 选择 地 使 用 Swift 作为 其 























存储 后 端 。 


773 






[LX Hc (Horizon) 





身份 服务 (Keystone) 


图 7-1 OpenStack 架构 


7.4.3 OpenStack 的 优势 与 劣势 


OpenStack 具有 三 大 特点 : 免费 开 


























源 、 强 大 的 兼容 性 以 及 开放 性 。 








对 象 存储 
IRZ Swift) 








OpenStack 本 身 是 一 个 开源 、 免 费 的 软件 ， 同 商业 软件 相 比 它 给 了 客户 足够 的 自由 度 ， 可 





以 在 任何 场合 使 用 。OpenStack A 





FUIS, i 











上 技术 人 员 了 解 程序 如 何 运 作 ， 由 此 可 以 自己 进 

















行 调整 。 在 云 计算 时 代 ， 存 在 平台 与 用 


















































户 锁定 的 情况 ， 而 如 果 大 家 都 采用 开源 的 软件 ， 迁 移 将 
变 得 容易 。 以 虚拟 化 应 用 为 例 ，OpenStack 支持 Xen, KVM, VMware 和 QEMU 等 虚拟 机 





























并 通过 统一 的 虚拟 层 来 调用 ， 实 现 底 层 对 用 户 透明 。 用 户 可 通过 其 对 现 有 虚拟 化 技术 的 支持 实 
现 OpenStack 在 不 同 场景 的 部 署 。 而 且 ， 由 于 OpenStack 使 用 一 个 框架 标准 和 API， 只 要 用 户 
具备 相应 的 技术 能 力 ， 任 何人 都 可 以 在 OpenStack 上 自行 建立 和 提供 云端 计算 服务 。 









































E 





总 而 言 之 ，OpenStack 的 推出 解决 了 用 户 在 开发 、 部 署 与 交付 云 环 境 上 的 灵活 性 、 弹 性 和 
低 成 本 问题 ， 大 大 改善 了 以 往 企 业 如 果 想 实现 云 计算 ， 就 必须 找 Amazon 和 IBM 等 云 计算 三 


TEES. 





然而 ，OpenStack 也 存在 如 下 一 些 劣势 : 

















(D 项 目 中 面临 的 风险 ”由 于 发 展 时 间 较 短 ， 还 人 














系统 监控 方面 的 功能 还 不 够 完善 ， 
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当月 


于 公有 云 时 ， 其 计 费 系统 还 有 待 7 





快 乏 很 多 必要 的 功能 。 比 如 OpenStack 在 














于 发 和 完善 。DNS f 




















事实 上 ， 
































理 、LVS 负载 管理 、Swif 的 CDN 服务 以 及 EBS 块 设备 存储 方面 功能 也 不 成 熟 。 
用 OpenStack 作 最 终 乎 台 的 解决 方案 是 存在 一 定 风 险 的 ， 甚 至 会 变 成 一 个 很 环 手 


的 问题 。 一 个 典型 例子 是 对 虚拟 化 管理 程序 的 支持 ，OpenStack 虽然 支持 几乎 所 有 的 虚拟 化 管 


















































Swift 项 目 





理 程序 ， 但 对 它们 的 支持 仅仅 是 开启 与 关闭 而 已 。 








(2) 厂商 之 间 的 利益 * 
但 正 是 众多 厂商 的 参与 ， 导 致 其 混乱 、 缺 乏 协调 的 现状 。 而 且 厂 商 之 间 存 在 利益 冲突 ， 他 们 都 
想 用 自己 基于 OpenStack 所 开发 的 产品 来 蔡 代 开 源 产 品 以 此 获 利 。 例 如 存储 解决 方案 提供 商 和 
都 则 在 构建 存储 平台 。 存 储 供应 商 在 项 目 中 
反 ， 他 们 只 想 确保 API 的 兼容 性 ， 并 以 自己 的 收费 产品 替代 开源 解决 方案 。 





























' 突 ”Openstack 成 长 势头 强劲 ， 吸 引 了 众多 开矿 商 的 支持 和 参与 ， 
























































G) 3i 




















存在 新 老 版 本 于 

































































7.1.4 OpenStack 平台 的 安全 问题 及 措施 






























































并 没有 开放 地 提供 技术 支持 ， 恰 恰 相 























lk 容 性 与 开发 成 本 OpenStack 是 一 个 可 以 建立 公有 云 和 私有 云 的 基础 架构 。 但 它 并 
不 是 一 个 现成 的 产品 ， 要 想 开展 基础 架构 方面 的 工作 ， 企 业 需 要 顾问 和 开发 人 员 ， 很 多 时 候 还 
需要 第 三 方 的 集成 工具 。 

此 外 ， 新 版 本 的 发 布 过 于 频繁 ， 平 均 半 和 
Chl RUE 











FE 就 发 布 一 个 新 版 本 ， 如 此 快 的 更 新 频率 难免 就 





从 图 7-1 可 以 看 出 ，OpenStack 平台 的 主要 安全 问题 及 措施 如 下 : 
1. 身份 认证 


















































HPE 
户 的 过 程 。 




















户 数据 管理 


任务 的 自动 化 。 





置 是 注册 新 用 户 到 一 个 给 定 系 统 的 过 程 ， 用 户 取 消 供应 的 过 程 是 从 系统 中 删除 用 
OpenStack 对 象 存 储 Swift 通过 称 为 TempAuth 和 SwAuth 的 认证 /授权 系统 提供 用 


















































TempAuth 和 SwAuth 之 间 的 差别 在 于 用 户 数 据 的 后 端 存储 。TempAuth 使 用 户 数据 以 纯 文 








本 形式 保存 在 配置 文件 中 。 
Swit 帐户 是 在 Swift 集群 上 创建 的 ， 用 户 信 息 以 JSON 编码 的 形式 存储 在 文本 文件 中 。 


























SwAuth 是 使 用 Swift 本 身 提供 的 可 扩展 的 认证 和 授权 系统 。 一 个 

































































SwAuth 和 tempAuth 都 允许 按 需 进行 用 户 配 置 和 解除 。 用 户 管理 的 特点 都 是 基于 OpenStack 对 
象 存储 Swift. 


TempAuth 和 SwAuth 通常 使 用 月 
收 到 一 个 令 牌 ， 此 令 牌 可 以 使 
































时 间 ， 默 认 设置 为 4~…6h。 
2， 密 码 强度 


OpenStack 项 目 对 
严格 的 审查 。 例 如 依据 常用 密码 

































































上 户 名 和 密码 进行 认证 。 当 成 功 进行 身份 验证 时 ， 用 户 会 
] 户 在 一 段 时 间 内 有 权 访问 系统 。 提 供 的 令 牌 具有 可 配置 的 到 其 






































用 户 进行 身份 验证 所 使 用 的 都 是 月 











昌 户 名 和 密码 。 密 码 强 度 要 求 应 接受 更 


















































令 字典 对 密码 进行 检查 ， 规 定 最 小 密码 长 度 和 必须 使 用 某 些 





特殊 字符 。 然 而 ， 这 些 要求 在 OpenStack 规范 中 并 不 存在 。 


3. 存储 密码 











密码 存储 是 使 用 密码 验证 的 所 有 









































信息 系统 中 共有 的 一 个 问题 。 在 信息 安全 中 的 一 个 常见 























做 法 是 要 求 管理 员 保 证 密码 是 被 加 密 的 ， 而 不 是 以 明文 存储 。 同 样 重 要 的 是 要 限制 访问 存储 密 
码 的 位 置 。TempAuth 将 用 户 名 和 密码 存储 在 一 个 配置 文件 中 ， 所 有 密码 都 记录 在 普通 文本 格 








式 : 

















4. 身份 验证 令 牌 
VAGA 

















E 生 成 用 于 授权 服务 请 求 的 令 牌 。 密 码 和 用 户 名 作为 输入 提供 给 API。 如 果 认 证 
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成 功 ， 由 此 产生 的 信息 包括 身份 验证 令 牌 和 服务 类 别 。 令 有 牌 保持 12 小 时 有 














iN 





效 。 发 出 的 令 牌 失 


























效 有 两 种 情况 : 


令 牌 已 经 过 期 或 令 牌 被 取消 。 


5， 认 证 数据 敏感 性 

将 OpenStack 的 认证 数据 从 一 个 服务 器 转移 到 另 一 个 服务 器 是 不 安全 的 。SwAuth 存在 的 
安全 问题 是 ， 人 允许 供应 商 管理 员 查 看 属于 此 管理 员 管理 的 所 有 用 户 数据 。 恶 意 用 户 还 可 以 获得 
其 他 用 户 访问 密码 。 

6， 恶 意 数据 

大 多 数 云 供应 商 在 将 数据 上 传 到 集群 之 前 不 加 密 数据 。 事 实 上 ，OpenStack 未 提供 任何 数 
据 加 密 方法 。 因 此 ， 用 户 需 要 先 加 密 数据 ， 然 后 上 传 加 密 后 的 数据 和 管理 密 铀 本 身 。 














7.2 Azure 


Microsoft 




































































的 安全 措施 
的 云 计算 模式 是 基于 Windows Azure 平台 来 实现 的 。 与 Google 和 Amazon 相 











比 ，Azure 可 以 被 第 三 方 部 署 ， 即 提供 私 用 云 和 混合 云 的 模式 。 由 于 Azure 提供 的 运行 模式 比 
较 灵 活 ， 用 户 在 选择 适合 自身 的 云 计 算 模式 需要 仔细 权衡 ， 因 为 不 同 的 运行 模型 对 安全 具有 一 





定 的 影响 。 



































7.2.1 Azure 概述 


Microsoft 





后 ， 微 软 的 又 

















紧 跟 云 计算 步伐 ， 于 2008 年 10 月 推出 了 一 套 云 端 操作 系统 Windows Azure 平 








台 ， 作 为 Azure 平台 的 开发 、 服 务 代 管 及 服务 管理 的 环境 。Azure 是 继 Windows 取代 DOS 之 























一 次 颠 履 性 转型 ， 让 Windows 真正 由 PC 延伸 到 “蓝天 ”上 。Azure 平台 与 























Visual Studio 进行 了 整合 ， 支 持 一 致 性 的 开发 经 验 。Azure 平台 是 个 可 同时 文 持 微软 及 非 微软 

















程序 语言 和 环 














境 的 开放 性 平台 。 其 主要 目标 是 帮助 开发 可 运行 在 云 服务 器 、 数 据 中 心 、Web 




















和 PC 上 的 应 月 





程序 。 























Azure 服务 平台 是 一 个 包括 存储 、 运 算 和 管理 三 大 部 件 的 云 计算 平台 。 有 目前 在 此 平台 上 运 
行 着 五 大 服务 : Live Services. SQL Services 、.NET Services. SharePoint Services 以 及 
Dynamics CRM Services®!. ($9) Azure 服务 平台 ， 开 发 人 员 可 以 创建 在 云 中 运行 的 应 用 ， 并 可 
将 现 有 的 应 用 加 以 扩展 ， 使 之 可 以 利用 以 云 为 基础 的 性 能 优势 。Azure 平台 为 商业 和 个 人 应 用 

























































































程序 提供 了 基础 ， 可 以 为 用 户 轻松 而 安全 地 在 云 中 存储 和 共享 信息 ， 并 可 随时 随地 进行 访问 。 


Azure 服务 平台 的 整体 结构 如 图 7-2 所 示 。 








Azure 服 务 平 


Live .NET SQL 态 客户 关系 SharePoint 
服务 服务 服务 | 服务 








Windows Azure 


图 7-2 微软 Azure 服务 平台 





1. Windows Azure 


Windows 











Azure 是 Azure 服务 平台 的 底层 部 分 ， 是 一 套 基于 云 计 算 的 操作 系统 ， 主 要 用 来 

















提供 云端 线 上 服务 所 需要 的 作业 系统 与 基础 储存 和 管理 的 平台 。 这 也 是 微软 实施 云 计 算 战略 的 
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一 个 部 分 。 如 图 7-3 Br. Windows Azure 包括 如 下 五 个 部 分 : 





(D 计算 〈Compute) Azure 计算 服务 提供 在 Windows Server 上 运行 应 用 程序 。 应 























图 








à 


7-3 Windows Azure 体系 架构 





用 程 








序 可 以 使 用 如 C#、VB、C++ 和 Java 等 语言 进行 开发 。 





(2) 存储 (Storage) H 


来 存储 大 的 二 进 




















口 











队列 。Azure 应 用 程序 和 本 地 应 














序 都 以 RESTful 方法 来 访问 该 存 
(3) 结构 控制 器 (Fabric Controller) Azure 应 用 程序 运行 在 虚 
创建 由 Azure 最 核心 的 模块 Fabric Controller 完成 。 





制 对 象 ， 提 供 Azure 应 月 
s. 
3L 上 


























cu kc 


Fabric Controller 还 监控 运行 实例 。 实 例 可 以 有 多 种 原因 





机 等 情况 。 


(4) 内 容 分 发 网 〈Content Delivery Network; CDN) CDN 把 用 户 经 常 访问 的 数据 临 
有 户 较 近 的 地 方 ， 可 以 大 大 加 快 用 户 访 问 这 些 数据 的 速度 。 另 外 ，CDN 可 以 缓存 大 














存在 距离 有 
的 二 进 制 对 象 。 





(5) 连接 (Connect) Azure 应 用 程序 通过 HTTP, HTTPS, TCP 与 外 部 的 1 
程序 和 本 地 服务 的 交互 。 例 如 通过 Connect 可 以 使 云 应 用 程序 访问 





Azure Connect 支持 云 应 月 
存在 本 地 数据 库 内 的 数据 。 
2. SQL 服务 





程序 的 组 名 





A 


Hispa 











用 的 











， 其 中 虚拟 机 的 


除 处 理 创建 虚拟 机 和 运行 程序 外 ， 























出 错 ， 如 程序 抛 出 


























机 死 





异常 、 物理 





时 保 














世界 交互 。 但 














此 服务 实现 了 微软 数据 平台 把 SQL Server 的 功能 扩展 到 云端 作为 基于 Web 的 服务 的 构 
想 ， 允 许 存 储 结构 化 的 、 半 结构 化 的 和 非 结 构 化 的 数据 。SQL 服务 将 会 实现 一 个 丰富 集成 服 
务 集 ， 利 用 这 些 服务 能 够 进行 关系 查询 、 查 找 、 报 告 功 能 、 分 析 、 集 成 和 与 移动 用 户 的 数据 同 





At 


3. NET 服务 


它 是 一 个 





它 是 一 个 寄宿 于 微软 架构 、 
有 关 的 应 用 程序 需要 的 构建 块 。 
RATA 


高 ，.NET 服务 允许 天 





























于 他 们 的 应 有 





高 可 扩展 、 面 向 开发 者 的 服务 集 ， 提 供 了 许多 基于 云 或 与 去 


.NET Framework 为 














发 者 提供 了 高 级 类 库 














， 使 开发 效率 更 























务 。.NET 服务 由 访问 控制 、 月 

法 去 控制 Web 应 用 程序 和 服务 ; 

册 到 服务 总 线 上 的 服务 通过 人 夏 

的 云 问 运行 工作 流 答 主 ， 提 供 

息 ， 一 系列 寄宿 工具 用 于 配置 、 
4. Live 服务 






























































Live 服务 是 一 系列 包含 在 Azure 服务 平台 
F 发 者 提供 一 个 简单 的 构建 丰富 的 、 高 级 的 应 用 程 


块 ， Live 服务 为 必 





及 务 总 线 和 汪 





服务 总 线 使 


王 何 网 络 拓扑 能 够 容易 地 被 发 现 和 访问 ;2 


管理 、 跟 踪 ] 


[ 作 流 服务 三 部 分 组 成 。 访 问 控 


42H 


程序 逻辑 而 不 是 构建 和 部 署 基于 云 的 基础 设施 服 
天 提供 一 个 简单 的 方 




















把 Internet 上 的 应 用 程 


可 





序 连 接 起 来 非常 简单 。 注 

















[ 作 流 实例 的 执行 以 及 一 系列 管理 














[ 作 流 服务 是 一 个 大 规模 


一 系列 优化 的 操作 用 于 发 送 、 接 收 和 操作 HTTP 及 服务 总 线 消 


应 用 程序 接口 。 














用 用 来 处 理 用户 数 据 和 应 月 




















程序 资源 的 构建 
序 和 体验 入 口 ， 通 过 多 种 
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设备 ， 应 用 程序 可 以 和 Internet 上 的 用 户 相连 。 
通过 Live 服务 ， 可 以 存储 和 管理 





xi 









































F 和 应 用 同步 到 














E Windows Live 用 户 的 信息 和 联系 人 ， 将 Live Mesh 中 的 
户 的 不 同 设备 上 上。 微软 Live Mesh 是 一 个 软件 





与 服务 相 结合 的 平 























数据 中 心 将 文件 和 程序 在 网 络 上 实现 无 颖 的 同步 共享 。 它 使 得 构建 跨 数字 设备 和 Web 的 应 用 
程序 成 为 可 能 。 
5. SharePoint 服务 与 Dynamics CRM 服务 

它们 用 于 在 云端 提供 针对 业务 内 容 、 协 作 和 快速 开发 的 服务 ， 


7.2.2 ”身份 认证 与 访问 管理 




















份 和 





Azure 通过 身 











访问 管理 、 











向 认证 、 证 书 和 私有 密 


对 于 使 用 联合 身份 验 记 
Windows Azure 或 本 地 。 对 了 











Windows Azure 对 





解决 用 户 身份 认证 和 访 
7.2.3 数据 安全 与 加 密 服 务 


通信 ， 使 用 SSL 加 密 进 行 保 护 。 作 为 
FA A RE Azure 中 整合 NET 加 密 


Wy 








Windows Azure 主要 从 数据 隔离 、 数 据 加 密 、 数 据 删 除 、 数 据 可 


see 


性 等 方面 来 保证 数 
1. 数据 隔离 








2. 数据 加 密 


在 存储 和 传输 中 对 


HEH 
于 不 同 的 应 用 程序 











身份 验证 、 最 少 特权 用 户 软 件 、 
E. Azure 存储 系统 的 访问 控制 机 4 















































问 管理 的 问题 。 





FAN, 





[数据 进行 加 密 ， 确 




















3. 数据 删除 


在 一 些 情况 下 ， 数 据 私密 性 可 以 超出 数 ] 



































制 数据 会 在 被 重用 的 时 


利用 Azure Jil 





测 、 
OS 
7 





4. 数据 可 用 性 


云 平台 

















5. 数据 可 靠 性 





云 服务 提供 商 应 该 经 常 向 其 用 户 证 


记录 和 报告 机 制 让 











在 内 的 许多 地 方 获取 监视 和 诊断 日 志 信息 并 写 到 日 志文 件 9 
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XP UR EAR. N 
三 个 不 同 节 点 ， 以 此 把 硬件 故障 带 来 的 影响 降 至 最 小 。 
Ic p T EA) REG 


























IR iT o 











保 数 据 可 
































除了 对 数据 访问 进行 身份 认证 外 ， 对 不 同 数据 适当 寺 
护 方 式 。Azure 提供 五 种 隔离 方式 来 保护 数据 安全 ， 了 
VMs fi 


据 的 生命 


ji 
































目录 CAD) 和 身份 验证 





建立 更 强 的 客户 关系 。 











内 部 控制 通信 量 的 SSL X 

















判 来 保证 用 户 数据 的 私密 性 。 

体系 结构 有 不 同 的 身份 认证 和 访问 管理 策略 。 例 如 ， 
E 的 ASP.NET Web 表单 应 用 程序 来 说 ， 一 般 是 将 其 Web 应 用 程序 部 署 在 
F 此 类 应 用 程序 需要 通过 企业 活动 














基础 来 























E、 数 据 可 靠 性 和 数据 





1t 


也 进行 隔离 也 是 一 种 被 广泛 认同 的 保 

















] 户 的 选择 之 一 ，Azure SDK j^ 
服务 提供 商 。 




















FE。 数据 在 Azure H 





要 有 人 管理 程序 ，Root OS 和 Guest 
du. OKP FC 的 隔离 ，@@ 包 过 波 :; OVLAN 隔离 ， 以 及 @@ 用 户 访问 隔离 。 











保 数据 的 保密 性 和 完整 性 。 此 外 ， 针 对 关键 的 内 部 








展 了 核心 NET 289g, A 





周期。 但 在 Azure 中 ， 所 有 的 存储 操 
































被 复制 备份 到 Fabric 中 的 





























明 








用 户 了 解 其 运行 的 安 








云 平台 运行 的 安全 改 


v 








] 户 还 可 以 














E 达 到 多 数据 备份 的 功能 。 











上 o 





通过 创建 第 二 个 存储 账户 ， 





Azure 实现 了 多 层次 的 监 


FE。 比如 Azure 的 监视 代理 从 包括 FC 和 Root 


























PF， 最 终 将 这 些 信息 的 子 集 推送 





到 一 个 预先 配置 好 的 Azure 存储 账户 中 。 


视 和 诊断 日 


























e. 数据 完整 性 


对 于 Azure 的 存储 服务 来 说 ， 
行 存储 时 ， 每 个 存储 账户 都 会 有 


























































































































Azure 的 监视 数据 分 析 服务 MDS) 能 够 读 取 多 种 监 
志 数 据 并 总 结 信息 ， 将 其 写 到 集成 化 日 志 
一 般 是 通过 使 用 简单 的 访问 控制 模型 来 实现 完整 性 。 在 进 
两 个 存储 账户 密 铀 ， 并 且 用 密 钥 来 控制 所 有 对 存储 在 账户 中 数 
据 的 访问 。 出 于 安全 性 考虑 ，Azure 为 存储 密 钥 的 访问 做 相应 的 、 完 全 的 控制 ， 从 引导 程序 到 

















操作 都 在 精 





7.3 Google Docs 的 安全 措施 











心地 管 


=j 





里 着 Fabric 自身 的 完整 性 。 


7.3.1 Google 云 平台 概述 


Google 在 云 计 算 方 面 
技术 实际 上 是 针对 Google 特定 的 网 络 应 





























直 走 在 | 








此 界 前 列 ， 是 当前 最 大 的 云 计算 使 用 者 。Goosgle 的 云 计 算 




















点 ，Google 提出 一 整套 云 计算 解决 方案 


的 顶级 会 
BUR. 


Google 的 云 计算 基础 架构 是 由 很 多 相互 独立 又 紧密 结合 在 一 

分 布 式 处 理 技术 (MapReduce)、 分 布 式 文 件 系统 (GFS)、 非 结构 化 存储 系统 (BigTable) 及 

分 布 式 的 锁 机 制 〈Chubby )。 

据 相 应 的 文档 构建 
下 的 Hadoop 项 目 。 

作为 最 大 的 云 计算 技术 的 使 用 者 ，Google 搜索 引擎 所 使 

过 100 万 台 的 服务 器 的 支撑 上 

迅速 增加 。Google 已 经 发 布 的 云 应 

Google App Engine 是 Google 在 2008 年 4 月 发 布 的 一 个 平台 

动 升级 的 在 线 应 用 服务 。 用 户 编写 的 应 用 程序 可 














Tu 











的 API. [X] 





运行 。 























Engine。 它 


eu 
Ke 


Google Apps 是 Google 企业 应 用 套件 ， 
并 可 与 其 他 客户 和 合作 估 介 


保持 联系 ， 


Talk. Google 日 历 、Google Docs. ij 


un 


一体 化 主机 服务 器 及 可 
部 署 和 运行 ， 而 且 Google 提供 应 用 程序 运行 及 维 
开发 者 使 用 Python, Java 或 Go 语言 来 编程 ， 而 且 


存 的 Web 应 


的 基础 架构 上 
Google App Engine 要 求 
此 ， 大 多 数 现 
Google App Engine 是 功能 比较 和 
己 的 包括 Google Cloud Storage 和 Google Big Query 等 服务 的 基础 架构 服务 Google Compute 
] Google 的 服务 器 来 运行 Linux 虚拟 机 ， 进 而 得 到 更 强大 的 计算 





议 上 发 表 论 文 ， 





































































































于 Google 公 
开源 的 大 规模 数据 处 理 云 计算 基础 设施 ， 








程序 而 定制 的 。 针 对 内 部 网 络 数据 规模 超大 的 特 


























。 从 2003 年 开始 ，Google 连续 在 计算 机 系统 研究 领域 
揭示 其 内 i 部 的 分 布 式 数据 处 理 方法 ， 向 外 界 展示 其 使 用 的 云 计算 核心 





起 的 系统 构成 的 ， 主 要 包括 

















全 球 的 技术 开发 人 员 能 够 根 
最 有 名 的 项 目 是 Apache H 





其 核心 技术 ， 使 得 
























































用 的 是 分 布 在 200 多 个 节点 、 超 
建立 起 来 的 Google 云 计算 平台 ， 而 且 其 服务 器 设施 的 数量 还 在 




















用 有 Google Docs、Google Apps 和 Google Sites 等 。 





开发 
以 在 Google 
护 所 需要 的 平台 资源 。 但 
只 能 使 用 一 套 限 定 
程序 ， 若 未 经 修改 均 不 能 直接 在 Google App Engine 上 


o Google App Engine 为 











































































































可 以 支持 








户 使 
































能 ， 包含 Eí 通信 、 














协作 与 发 布 、 














管理 服务 三 方面 的 应 
Google Sites 作为 Google Apps 的 一 ps F 
有 具 ， 可 利用 它 创建 一 个 各 种 类 型 的 团 








的 云 服务 产品 。 直 到 2012 年 Google 正式 对 外 推出 












































使 用 户 能 够 处 理 数量 日 渐 庞 大 的 信息 ， 随 时 随 

EF 进行 沟通 、 共 享 和 协作 。 它 集成 了 Gmail. 

新 推出 的 云 应 用 Google Sites、API 扩展 以 及 一 些 管 

用 。 

Md 它 是 一 个 侧重 团队 协作 的 网 站 编辑 工 

过 Google Sites 可 将 所 有 类 型 的 文件 包括 文 
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地 
Google 
里 功 






























































队 网 站 ， 通 


档 、 视 频 、 相 片 、 日 历 及 附件 等 与 好 友 、 团 
]. Google 公司 通过 对 Writely 和 Spreadsheets 服务 整合 ， 
服务 Google 文档 (Google Docs). Google Docs 是 最 














2006 年 10 





7.3.2 Google Docs 











Google 是 世界 上 最 大 的 互联 网 服务 提供 商 ， 谷 歌 
互联 网 应 用 的 各 个 领域 渗透 ， 如 博客 、 电 子 
Google Docs 产品 尤为 引 人 注 目 。 在 桌面 办 公 工 

















队 或 整个 网 络 分 享 。 


























E 








的 核心 业务 












































是 搜索 引擎 ， 近 年 来 ， 正 向 

















Google 使 用 SaaS 挑战 传统 软件 行业 。 


Google Docs 是 一 套 类 似 于 微软 Office 的 、] 


理 和 搜索 文档 、 
协同 编辑 文档 。 使 























表格 及 幻灯 片 等 。Google Does 云 计算 月 
























































及 务 方式 ， 





b 件 及 文档 协同 编辑 。1 


于 源 的 、 基 于 Web 的 在 线 办 公 软 








Google 公司 研发 的 








软件 领域 ， 谷 歌 向 微软 Office 发 起 挑战 ， 


Hr 


。 它 可 以 处 
] 户 共享 以 及 














比较 适合 多 个 

















1 Google Docs 可 提高 协作 效率 ， 多 月 








看 到 其 他 成 员 所 做 的 编辑 。 





浏览 器 即 可 。 在 线 创建 和 管理 、 
及 随时 随地 访问 的 特性 ， 大 大 提高 了 文 伯 
在 Google Docs 中 ， 文 件 还 可 以 方便 地 从 谷歌 文件 ! 














昌 户 可 同时 在 线 更 改 文 件 ， 并 可 以 实时 
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H E 


2N 














J> 
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55 
TI 


























实时 协作 、 权 限 管理 、 
操作 的 


接 入 互联 网 的 计算 机 和 可 以 使 用 

















Google 文件 的 标准 





























< 享 和 协同 能 力 。 
导入 和 























E 1| 
NJ uo 





共享 、 搜 索 能 力 、 修 订 历 史记 录 功 能 以 





若 要 操作 计算 机 上 现 有 








文件 ， 只 需 上 传 该 文档 ， 并 从 上 次 中 断 的 地 方 继续 即 可 ， 要 离线 使 用 文档 或 将 其 作为 附件 发 





送 ， 只 需要 在 你 的 计算 机 上 保存 一 份 文件 
论 是 上 传 还 是 下 载 文件 ， 所 有 的 格式 都 会 予以 保留 。 使 
务 一 样 ， 无 须 下 载 或 安装 其 他 软件 ， 只 需要 把 计算 机 接 入 互联 网 即 可 使 





























副本 即 可 。 月 























日 户 还 可 以 选择 需要 的 任意 格式 发 送 ， 无 




















谷歌 文人 





就 像 使 

















谷歌 的 其 他 网 络 服 




















7.3.3 Google 文档 的 安全 问题 及 措施 


1. 安全 问题 


在 充分 认识 Google Docs 所 带 来 效率 和 优势 的 同时 ， 也 要 看 到 Google Docs 仍 面临 


诸多 风险 和 挑战 : 














据 放 在 Google 








1) 信息 安全 难以 充分 保障 。 大 多 数 个 人 
的 服务 器 上 。 然 而 ， 对 于 企业 上 月 
心机 密 放 在 第 三 方 的 服务 器 上 ?Google 是 否 对 于 网 络 安 全 和 在 线 托管 有 足够 的 经 验 ? 如 果 出 
现 数据 丢失 情况 ，Google 将 如 何 赔偿 ? 这 些 方面 的 问题 都 还 有 












































Jj. 


如 下 





JX} Google 是 信任 的 ， 可 以 将 个 人 的 敏感 数 
户 来 说 ， 一 个 企业 是 否 会 将 关系 到 本 企业 的 核 


























待考 量 。 





2) 如 果 用 户 数据 被 非法 操作 ， 致 使 数据 修改 或 删除 ， 导 致 用 户 数据 丢失 ， 这 无 疑 会 对 用 





户 造成 损失 。 
3) 数据 存储 的 透明 度 。 









































H. 












































EER, Adan EEA 





确定 ， 如 果 发 生 法 律 纠 











纷 ， 
























































不 同 国家 和 不 同 区 域 的 管理 规则 不 同 ， 处 理 起 来 比较 棘手 。 
4) Google Docs 能 否 带 来 持久 的 服务 。 如 果 Google Docs 暂时 出 现 故 障 或 者 长 时 间 无 法 使 
给 用 户 带 来 的 损失 是 难以 估计 的 。 
2. 安全 策略 
针对 Google Docs 存在 的 安全 与 隐私 问题 ， 目 前 已 有 如 下 安全 策略 : 
(OD 身份 认证 HAT, Google Docs 用 户 的 身份 认证 主要 还 是 用 户 名 和 密码 ， 这 使 得 越 来 

















越 多 的 黑客 攻击 从 最 终 用 户 下 手 ， 因 




















JE, HJ 








端 到 端的 安全 理念 ， 














可 以 在 便 件 层面 中 加 强身 份 


认证 。 例 如 ， 采 用 指纹 认证 或 其 他 生物 特征 识别 技术 ， 来 提高 安全 级 别 。 另 外 ， 用 户 级 别 的 权 
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限 要 进行 严格 的 设置 。 
(2) 数据 加 密 
存储 在 云端 。 存 储 帮 
防止 数据 被 窃取 。 
(3) 加 强 对 数据 中 心 
短 的 时 间 恢 复 正 常 ， 并 上 

















E 云 端的 数据 在 数据 存储 管理 


的 管理 F 








存放 在 云端 的 数据 ， 如 果 是 隐私 或 机 密级 别 较 高 要 慎重 























BIER. OW CET 
严格 的 数据 加 密 ， 














和 计算 的 各 个 环节 中 要 采 























角 保 所 有 上 月 








昌 户 可 以 随时 使 用 数据 ， 








数据 不 会 丢失 。 此 外 ， 还 要 保 训 








都 有 记录 ， 以 便 出 现 问题 时 
(4) 制订 灾难 恢复 策 
包括 业务 恢复 计划 、 系 统 应 








Y 
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v 














[有 记录 可 循 。 











各 月 
R RKA 



































外 期 间 ， 能 够 在 尽量 




















14 Amazon 的 安全 措施 











Amazon 提供 的 云 服 务 主要 包括 弹 改 
存储 服务 (S3) 等 。Amazon EC2 提供 与 SimpleDB, fiij 








为 用 户 提供 完整 的 解决 方案 。 


7.4.1 概述 
AR 
Amazon. [A 


8 
4l 

















络 


A^ 
于 


服务 3 











计算 是 Google 最 
为 早 在 2002 年 ，Amazon 公司 就 提供 
1]， 它 们 允许 通过 程序 访问 Amazon 的 计算 基 而 
的 概念 之 后 ，Amazon 发 现 云 计算 与 自己 的 AWS 整套 技术 架构 无 比 吻合 ， 顺 势 
PE AWS 发 展 而 来 的 弹性 云 计算 平台 (EC2)。 如 今 Amazon 已 成 为 与 Google、IBM 
巨头 公司 并 驾 齐 驱 的 云 计算 先行 者 。 





E 计 算 云 (EC2)、 简 单数 据 库 服务 


























日 


昌 户 需要 与 云 服务 提供 商 进 行 协调 ， 制 订 灾 允 
E 恢 复 实施 计划 以 及 各 方 对 计划 的 认可 ， 以 便 在 发 4 


8 现 故 障 时 ， 以 尽 可 能 
F 每 次 对 数据 实施 的 增 、 删 、 改 等 操作 





恢复 计划 ， 主 











HH 
Ez 
ES 
Als 











断 运行 的 情况 下 ， 将 所 有 任务 和 业务 的 核心 部 分 转移 到 备用 节点 。 











(SimpleDB)、 简 单 











队列 服务 (SQS)、S3 集成 的 服务 ， 




















导 的 ， 但 是 真正 把 云 计算 进 


了 著名 的 网 络 服务 AWS 











E 倡 


















































EN 








Amazon œ 
前 ， AWS 提供 

















家 将 云 计算 作为 服务 4 











LI 
Lp 

















Amazon 的 主要 云 产 品 有 强 























行 大 规模 商用 的 公司 首 推 


设施 。 到 2006 年 ，Google 首次 提出 云 计 算 


的 公司 ， 将 基础 设施 作为 服务 向 用 户 提 供 。 
众多 网 络 服务 ， 大 致 可 分 为 计算 、 存 储 、 应 用 架构 、 特 定 应 用 和 管理 五 大 类 。 
E 计 算 云 (EC2 )、 简 单 存储 服务 〈S3 )、 

















。AWS 包含 很 多 服 


Eu 








8 由 现 有 网 











L 























简单 数据 库 服务 





CSimpleDB )、 内 容 分 发 网 络 服务 (CloudFront)、 简 单 队列 服务 (SQS)、MapReduce 服务 、 电 


子 商 务 服务 (DevPay， 专 门 设计 用 来 让 开发 者 收取 EC2 或 基于 S3 的 应 月 


灵活 支付 服务 (FPS) 等 。 
1. AWS 计算 服务 











AWS 提供 多 种 让 企业 依照 需求 快速 扩大 或 缩小 规模 的 计算 实例 。 最 党 
服务 是 Amazon 弹性 计算 云 (EC2) 和 Amazon 弹性 负载 3 
功 进行 产品 化 并 进行 商 














最 早 将 云 计算 的 概念 成 








KE 


























是 Amazon F 2006 Œ 8 H 























提供 虚拟 主机 服务 。 它 让 月 


























算 能 力 。 用 户 只 需 为 实际 使 
拟 实例 。 








出 的 一 种 Web 月 
日 户 可 以 在 # 


它 利 


RS 



































EC2 本 身 基 于 Xen。 
也 可 以 随时 创建 、 运 行 、 终 1 











j 户 可 以 在 这 个 虚拟 机 上 运行 任何 自 
上 自己 的 虚拟 服务 器 ， 使 有 














日 多 少时 间 算 多 少 钱 。 


上 运作 的 是 Amazon 的 EC2 ^| 
用 其 全 球 性 的 数据 中 心 网 络 ， 为 客户 
民 短 时 间 内 获得 虚拟 机 ， 根 据 需要 轻松 地 扩 - 
用 的 计算 时 间 付 费 。 如 果 需 要 增加 计算 能 力 ， 可 以 快速 地 启动 虚 


己 想 要 执行 的 软 伯 











程序 的 使 用 费 ) 和 





月 





Hf] AWS 计算 


使 


F”, EC2 








展 或 收缩 计 





[或 应 用 程序 ， 
因此 这 个 系统 是 弹 
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性 使 用 的 。 











EC2 提供 真正 全 Web 范围 的 计算 ， 很 容易 扩展 和 收缩 计算 资源 。Amazon 还 引入 了 弹性 


IP 地 址 的 概念 ， 弹 性 IP 地 址 可 以 动态 地 分 配给 实例 。 
AWS 的 弹性 负载 平衡 (ELB) 服务 会 在 AWS EC2 实例 中 

















容错 性 和 最 少 的 人 为 干涉 。 
2. AWS 存储 服务 





AWS 提供 多 种 低 价 存储 选项 ， 让 用 户 有 更 大 的 弹性 。 旧 
Amazon 简单 存储 服务 〈S3 )、 弹 性 块 存储 (EBS) 及 CloudFront. 


S3 是 Amazon 在 2006 年 3 月 推出 的 在 线 存储 服务 。 这 种 存储 服务 按照 每 个 月 类 似 租金 的 















































形式 进行 服务 付费 ， 同 时 

















存储 服务 。 


























S3 使 用 





用 REST 和 简单 对 象 访问 协议 〈SOAP 


























动 分 配 应 





















































]， 以 达成 更 好 的 


最 受 欢 迎 的 存储 选项 包括 























j 户 还 需要 为 相应 的 网 络 流量 进行 付费 。 亚 马 逊 网 络 服务 平台 使 


























等 标准 接口 ， 

















可 针对 不 同文 档 设 定 权 限 。 例 如 对 所 有 人 公 











个 简单 的 基于 Web 的 界面 并 且 使 用 密 钥 来 验证 
文档 放 入 S3 的 储存 空间 ， 并 可 在 任何 时 间 、 从 


用 户 可 以 通过 这 些 接 




































































或 保密 ， 或 是 针对 某 些 使 用 者 公 











访问 相应 的 


] 户 身份 。 用 户 可 直接 将 自己 的 
E 何 地 点 ， 通 过 网 址 存 取 自 己 的 数据 ， 


Ap 


同时 用 户 








以 确保 


























S? 





文档 的 安全 性 。S3 不 但 能 提供 无 限量 的 存储 空间 ， 还 能 大 大 减少 企业 和 个 人 维护 成 本 和 安 
全 费用 。 对 于 存储 在 S3 中 的 每 个 对 象 ， 可 以 指定 访问 限制 ， 可 以 用 简单 的 HTTP 











对 象 ， 甚 至 可 以 让 对 象 通过 BitTorrent 〈 一 种 | 


议 下 载 。 

















S3 的 存储 机 制 
件 就 是 一 个 对 象 ， 


主要 


























5GB。 桶 则 是 对 象 的 容器 ， 一 般 以 URL 的 形式 出 现在 请 求 中 。 理 
建 的 桶 是 有 限 的 ， à 
S3 是 专 为 大 型 、 非 结构 化 的 数据 块 设计 的 ， 同 Google 的 GFS 在 一 个 层面 。 
服务 提供 了 持续 的 EC2 实例 块 层 存储 ， 有 加 密 和 自动 复制 的 能 力 





























无 限 的 对 象 ， 但 是 














AWS 的 EBS 


个 用 户 能 够 色 

















c— 









































f EU fes 






























































关 ， 但 是 对 对 象 的 大 小 有 所 








请 求 访 问 


Bram Cohen 设计 的 端 对 端 文件 共享 协议 ) 协 


对象 和 桶 组 成 。 对 象 是 基本 的 存储 单位 ， 如 客户 存储 在 S3 的 一 个 文 
Amazon 对 对 象 存储 的 内 容 无 限 人 


限制 ， 为 











论 上 来 说 ， 








个 桶 可 以 存储 


























宣称 EBS 是 个 高 可 用 性 、 高 安全 性 的 EC2 存储 补充 选项 。 


CloudFront 是 个 内 容 交 付 服务 ， 主 要 面向 开发 者 和 企业 。 它 可 以 配合 其 








实现 低 延 迟 、 高 数据 传输 速度 。CloudFront 还 可 以 进行 快速 的 内 容 分 发 。 


3. AWS 数据 库 服 务 








AWS 有 关系 型 和 NoSQL 数据 库 ， 也 有 

















AWS 中 以 EC2 和 EBS 运行 自 








己 的 数据 库 。 














2007 年 ，AWS 1 
核心 功能 的 Web 服务 。 


























SimpleDB 无 须 配置 ， 可 自动 索引 用 户 的 数据 ， 并 提供 























方式 消除 了 管理 员 创建 数据 库 、 维 护 索 引 和 调 优 性 能 的 负担 ， 

































































内 在 























1t 


























然而 ，SimpleDB 在 性 能 方面 一 直 存在 不 足 。RDS 是 在 
库 服 务 ， 它 的 出 现 主要 是 为 MySQL 











多 SimpleDB ! 
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缓存 和 PB 级 规模 的 数据 仓库 。 


即 可 使 用 和 访问 ， 并 且 容 易 弹 性 扩展 和 实时 调整 ， 只 需 付费 使 用 。SimpleDB 可 
里 分 布 在 多 个 地 理 位 置 的 数据 副本 ， 以 此 提高 可 





E 和 数据 持久 性 。 





o Amazon 


也 的 AWS 应 用 来 




























































































SimpleDB 之 后 推出 的 关系 型 数据 
发 者 在 AWS 云 上 提供 可 用 性 与 一 致 性 。RDS 
存在 的 问题 ，AWS 也 进一步 扩展 了 它 的 数据 库 文 持 ， 包 括 Oracle. SQL Server 


j 户 可 以 在 





出 SimpleDB 。SimpleDB 是 一 个 对 复杂 的 结构 化 数据 提供 索引 和 查询 等 





一 个 简单 的 存储 和 访问 API， 这 种 
开发 者 在 Amazon 的 计算 环境 




















动 创建 和 管 





解决 了 很 


以 及 PostgreSQL 等 。 同 时 ，AWS 还 添加 了 跨 

















区 域 复制 的 功能 ， 并 文 持 固态 硬盘 (SSD). 

















Amazon Redshift 是 个 可 以 辅助 许多 常见 的 商业 智能 工具 的 数据 仓库 服务 。 它 提供 了 可 以 


为 那些 以 列 而 不 是 以 行 来 存储 数据 的 数据 库 所 使 




































































用 的 柱状 存储 技术 。 




















































































































至 于 数据 的 安全 性 及 稳定 性 ，Amazon 表示 ， 写 入 Redshift 节点 的 数据 会 自动 复制 到 同一 
集群 的 其 他 节点 ， 所 有 数据 都 会 持续 备份 到 S3 上 。 而 在 安全 方面 ，Redshift 可 在 数据 传送 时 
使 用 SSL， 在 主要 储存 区 及 备份 数据 使 用 硬件 加 速 的 AES-256 加 密 。 另 外 ， 由 于 应 用 虚拟 私 
有 云 ，Redshift 也 能 通过 VPN 通道 连接 企业 现 有 的 数据 中 心 。 

用 户 可 以 通过 多 种 途径 把 数据 上 传 到 Redshit， 有 大 数据 的 企业 可 以 用 AWS Direct 
Connect (亚马逊 直接 连接 ) 设 定 私 有 网 络 以 1Gbit/s 或 10Gbit/s 的 速度 连接 数据 中 心 和 亚马逊 
的 云端 服务 。 


4. AWS 队列 服务 


2007 年 7 
之 间 数 据 传递 的 消 ， 























J], Amazon 公司 


昌 队 列 服务 ， 这 些 组 件 可 能 分 布 在 不 同 的 计算 机 上 。 通 过 这 一 项 服务 ， 





| 
Tr 




















出 简单 队列 服务 〈SQS )。 它 是 一 种 用 于 分 布 式 应 用 的 组 
应 用 






































程序 开发 人 员 可 以 如 
务 方式 ， 即 使 消息 的 接收 方 没有 
消息 接收 组 件 被 启动 运行 ， 贝 
有 务 进行 付费 使 用 ， 计 费 的 规则 与 存储 计 费 规则 类 似 ， 





种 消息 传递 有 
递 的 大 小 收费 。 
通过 使 用 SQS 和 Amazon 
如 ，EC2 实例 可 以 通过 向 SQS AX 























FE 分 布 式 程序 之 间 进 行 数据 传递 ， 而 无 须 考虑 消 , 








外 丢失 的 问题 。 








通过 这 种 服 















































模块 启动 也 没有 关系 ， 服 务 内 部 会 缓存 相应 的 消息 ， 而 一 旦 有 
I 队列 服务 将 消息 提交 给 相应 的 运行 模块 进行 处 理 。 用 户 必 须 为 这 
依据 消息 的 个 数 以 及 消息 传 

































































他 基础 服务 可 以 很 容易 地 构造 一 个 自动 化 工作 流 系统 。 例 
筷 相 互通 信 并 整合 工作 流 ， 还 可 以 使 用 队列 为 应 用 程序 







































































构建 
队列 

















个 自 愈合 、 


的 消息 ， 防 止 未 授权 的 访问 。 





目 动 扩 














EC2 的 基础 设施 ， 可 以 使 用 SQS 提供 的 喘 份 验证 机 制 保护 





HERI AE] 


S， 云 数据 库 服务 Aurora 


Aurora 是 一 个 面向 Amazon RDS, 3&7€ MySQL 的 数据 库 引 擎 ， 结 合 了 高 端 商 
高 速度 和 高 可 用 性 特性 以 及 开源 数据 库 的 简洁 和 低 成 本 。 
E 能 可 达 MySQL 数据 库 的 5 倍 ， 
数据 库 的 1/10. Aurora 具有 自动 拓展 存储 容量 、 


























等 功能 。 


Aurora HJ 





6. AWS 网 络 
AWS 提供 了 一 系列 网 络 服务 ， 包 括 连 接 到 云端 的 私有 网 络 ， 可 扩展 的 DNS 和 创建 逻辑 






























































V PED 
































且 拥 有 可 扩展 性 和 安全 性 ， 但 成 本 只 是 高 端 商 
动 复 制 数据 、 自 动 检测 故障 和 恢复 正常 



















































































































































































隔离 网 络 的 工具 。 流 行 的 网 络 服务 包括 Amazon 虚拟 私有 云 (VPC) 00 和 Amazon Direct 
Connect 服务 。 

在 VPC 中 ， 使 用 者 可 以 在 AWS 内 部 创建 虚拟 网 路 拓扑 ， 就 像 在 机 房 规 划 网 络 环境 一 
样 。 使 用 者 可 以 自由 地 设计 虚拟 网 路 环境 ， 包 括 卫 地 址 范围 、 子 网 络 拓扑 、 网 络 路 由 和 网 络 
网 关 等 。 用 户 可 以 轻易 地 配置 需要 的 网 络 拓扑 。 此 外 ， 使 用 者 可 以 在 自己 的 数据 中 心 和 VPC 
之 间 建 立 VPN 通道 ， 将 VPC 作为 数据 中 心 的 延伸 。 





AWS 的 Direct Connect 服务 可 以 让 用 户 绕 过 互联 网 而 直接 连接 到 
































AWS 的 云 。 


7. AWS 的 免费 套餐 


Amazon AWS 人 免费 套餐 则 在 


免费 使 用 1 


2 个 月 。 








帮助 用 户 获得 AWS 云 服 务 的 实际 操作 经 验 ， 用 户 在 注册 后 可 
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Amazon 免费 套餐 所 提供 的 免费 项 目 很 多 ， 有 具体 如 下 ; 

1) 750h 的 Amazon EC2 Linux Micro Instance Usage (PTF 613MB， 文 持 32bit 以 及 64bit 
平台 )。 

2) 750h 的 Elastic Load Balancer 以 及 15GB 数据 处 理 。 

3) 5GB 的 Amazon S3 标准 储存 空间 ，20000 个 Get 请 求 ，2000 个 Put 请 求 。 

4) 10GB Amazon Elastic Block Storage，2000000 次 输入 /输出 ，1GB 快照 存储 。 

5) 30GB 的 Internet 数据 传送 (15GB 的 数据 上 传 以 及 15GB 的 数据 下 载 )。 

关于 免费 套餐 的 更 详细 说 明 请 参考 官方 网 站 山 。 申 请 免费 套餐 的 官方 网 址 为 http://aws. 
amazon.com/free/。 如 何 使 用 申请 免费 套餐 可 阅读 参考 文献 [12]。 

8. AWS 基本 架构 

AWS 基本 架构 服务 包括 S3、SimpleDB、SQS 和 EC2， 和 覆盖 了 应 用 从 建立 、 部 署 、 运 
行 、 监 控 到 种 载 的 整个 生命 周期 。 图 7-4 显示 的 是 AWS 中 主要 Web 服务 之 间 的 关系 。 
















































































服务 供应 商 





核心 管理 控制 模块 





图 7-4 AWS 基本 架构 











742. ”安全 策略 

1. 容错 设计 

核心 应 用 程序 以 一 个 NH 配置 被 部 署 ， 从 而 当 一 个 数据 中 心 发 生 故 障 的 情况 下 ， 仍 有 足 
够 的 能 力 使 剩余 位 置 的 流量 负载 平衡 。AWS 由 于 其 多 地 理 位 置 以 及 跨 多 个 可 用 区 的 特点 ， 可 
以 让 用 户 灵活 地 存放 实例 和 存储 数据 。 每 一 个 可 用 性 区 域 被 设计 成 一 个 独立 区 域 。 

2. 安全 访问 

客户 端 接 入 点 通常 都 采用 HTTPS， 人 允许 用 户 在 AWS 内 与 自己 的 存储 和 计算 实例 建立 一 个 
安全 通信 会 话 。 为 了 支持 客户 FIPS 140-2 的 要 求 ， 亚 马 逊 虚拟 私有 云 VPN 端点 和 AWS 
GovCloud 〈 美 国 ) 中 的 SSL 终端 负载 均衡 进行 操作 使 用 FIPS 140-2 第 2 级 验证 的 硬件 。 此 外 ， 
AWS 还 实施 了 专门 用 于 管理 与 互联 网 服务 提供 商 的 接口 的 通信 网 络 设备 。AWS 在 AWS 网 络 的 
每 个 面向 互联 网 边缘 采用 一 个 到 多 个 通信 服务 的 元 余 连 接 ， 每 个 连接 都 专用 于 网 络 设备 。 

3. 传输 保护 

用 户 可 以 通过 HTTP 或 HTTPS 与 AWS 接 入 点 进行 连接 ，HTTP 或 HTTPS 使 用 SSL 协 
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议 。 对 于 需要 网 络 安全 的 附加 层 的 客户 ，AWS 提供 
具有 使 用 VPN 设备 来 提供 VPC 和 月 
4. 加 密 标准 
AWS 的 加 密 标准 为 AES-256， 客 户 存储 在 S3 ' 
便 件 安全 模块 (HSM) 设备 来 实现 加 密 密 钥 存储 的 客户 ， 可 以 使 用 AWS CloudHSM 存储 和 管 


























ig]. 


























ET AWS 云 中 的 专用 子 网 ，3 
首 的 能 力 。 








昌 户 数据 中 心 之 i 




































































5. 内 置 防火 墙 
AWS 可 以 通过 配置 内 置 防火 墙 规 则 来 控制 实例 的 可 访问 性 ， 既 可 完全 公开 ， 又 可 完全 私 
































动 进 行 加 密 。 针 对 必须 使 用 


























有 ， 或 者 介 于 两 者 之 间 。 当 实例 驻 留 在 VPC T 


6. 网 络 监测 和 保护 
AWS 利用 各 种 各 样 的 自动 检查 系统 来 提供 高 水 * 

















PF 时 ， 便 可 控制 出 口 和 入 




















设计 用 于 检测 在 入 口 和 出 
器 和 网 络 的 使 用 、 



























































端口 扫描 活动 、 应 用 程序 的 使 用 



































以 给 异常 活动 设置 
































护 ， 并 可 以 实现 进一步 的 保护 。 
7 账户 安全 与 身份 认证 











Amazon fi HB 



































并 独立 地 管理 每 个 


个 用 户 即 可 。 








8. 账户 复查 和 审计 
账户 每 阳 90 天 审查 一 次 ， 明 确 的 重新 审批 要 求 或 对 资源 的 访问 被 自动 撤销 。 当 一 个 员工 


的 记录 在 Amazon 的 人 力 资源 系统 被 终止 时 ， 
中 的 变化 请 求 都 会 被 Amazon 权限 管理 工具 审计 
访问 资源 时 必须 明确 获得 批准 ， 和 否则 将 被 自动 取消 。 

























































































9. EC2 的 安全 措施 
在 EC2 中 ， 安 全 保护 包括 宿主 操作 系统 安全 、 客 户 操作 系统 安全 、 防 火 墙 和 API 保护 。 




















宿主 操作 系统 安全 基于 堡垒 主 






































的 服务 性 能 和 可 用 性 。AWS 监控 工具 被 
通信 点 不 寻常 的 或 未 经 授权 的 活动 和 条 件 。 这 些 工 具 可 以 监控 服务 
授权 的 入 侵 企 图 。 同 时 ， 它 们 还 可 












































定义 的 性 能 指标 闵 值 。AWS 网 络 提供 











应 对 传统 网 络 安全 问题 的 有 效 保 


























的 是 AWS IK, AWS 的 IAM 允许 客户 在 一 个 AWS 账户 下 建立 多 个 用 户 ， 








j 户 的 权限 。 当 访问 Amazon 服务 或 资源 时 ， 只 需要 使 用 AWS 账户 下 的 某 





在 防火 墙 方面 ， 使 用 默认 拒绝 














模式 ， 使 得 网 络 通信 可 以 根据 协议 、 服 务 端口 和 源 
都 需要 X.509 证 书 或 客户 的 Amazon 秘密 接 入 密 钥 的 签名 ， 并 且 能 够 使 用 SSL 进行 加 密 。 此 





外 ， 在 同一 个 物 到 























Rilo API 保护 指 所 有 API 调用 


























在 SimpleDB 中 ， 提 供 


















































它 对 AWS 的 访问 权限 也 将 被 自动 取消 。 在 访问 
i [的 工作 职能 发 生 改变 ， 继 续 








1 和 权限 提升 。 客 户 操作 系统 安全 基于 客户 对 虚拟 实例 的 完全 控 
制 ， 利 用 基于 Token 或 密 钥 的 认证 来 获取 对 非特 权 账 户 的 访问 。 




















主机 上 的 不 同 实例 通过 使 用 Xen 监督 程序 进行 隔离 ， 并 提供 对 抗 分 布 式 拒 
绝 服 务 攻击 、 中 间 人 攻击 和 对 欺骗 的 保护 [1]。 
10. SimapleDB 的 安全 措施 

















Domain-level 的 访问 控制 ， 基 于 AWS 账户 进行 授权 。 一 旦 认证 




















之 后 ， 订 购 者 具有 对 系统 中 所 有 用 户 操 作 的 完全 访问 权限 ，SimpleDB 服务 也 通过 SSL 加 密 





访问 。 














11. S3 的 安全 措施 

















体 来 讲 如 下 ; 


通过 SSL JJ 





I 密 来 防止 传输 的 数据 被 拦截 ， 并 允许 用 户 在 J 

















CD 账户 安全 访问 Amazon 服务 或 资源 时 ， 





上 传 数据 之 前 进行 加 密 等 。 具 



































使 用 AWS 账户 下 的 某 个 用 户 ， 而 不 
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EE ÆA 


需要 使 用 拥有 
子 认证 (MFA)， 





























设备 。 


(2) 访问 控制 sa 提供 的 对 象 和 桶 
他 AWS 账户 或 使 用 
fit REST 或 SOAP 请 
止 请 求 在 传输 过 程 ， 





访问 控制 列表 


给 














所 有 





认 情 况 









































WRK, 




















160 位 。 至 于 使 








(3) 数据 安全 传输 


的 安全 性 。 





选择 使 用 服务 器 端 加 密 ， 这 种 方式 下 的 加 密 密 钥 由 
如 果 用 户 选择 在 上 传 数 据 之 前 





作 也 由 S3 来 负 





= 
Jio 





权限 的 SWA 账户 。 除 传统 的 月 
即 可 以 为 AWS 账户 或 其 下 的 月 
的 一 次 性 密码 (6 位 数字 ) 来 登录 ， 这 样 ， 除 验 订 


T 
IAM 创建 的 用 户 ， 被 授权 的 月 
青 求 来 访问 对 象 ， 客 户 在 构造 U 


的 密 钥 ，Amazon 则 在 
在 数据 传输 过 程 ! 
对 于 敏感 数据 ， 用 户外 
出 加 密 两 种 加 密 方 式 。 这 两 利 





昌 户 名 和 和 密码 验证 
昌 户 匹配 一 个 硬件 认证 





























措施 外 ，Amazon 提供 多 
设备 ， 使 用 该 设备 提 

















用 户 名 和 密码 之 外 ， 还 验 说 


E 了 用 户 所 拥有 





EXE DH 














级 的 两 种 访问 控制 各 自 独 立 实 现 ， 
的 创建 者 才 有 权限 访问 它们 。 

















只 有 对 象 / 桶 














它们 有 
当然 月 
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独立 的 
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表 中 。S3 

















, 为 了 证 明 自 
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己 的 身份 3 














RL 的 过 程 
提供 签名 。S3 使 
册 时 分 发 。 

HJ" f 





























需要 在 请 求 ! 

iru 
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DNI HJA 






































EPA 





钥 由 谁 来 掌管 














好 处 在 于 





UP Bae, # 


方式 的 





区 别 在 于 密 








L 


] HMAC-SHAI, ij 











S3 保管 ， 在 用 户 需要 取 
和 进行 加 密 ， 即 选取 使 用 S3 
































BW 
要 长 度 为 


E 够 使 用 SSL 来 保护 自己 的 数据 在 传输 过 
ERE S3 b. S3 提供 客户 端 加 密 与 服务 
， 如 果 用 户 信任 S3， 则 可 以 


数据 时 ， 解 密 操 


pp 


客户 端 加 密 
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一 
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色 数 据 在 云 服务 商 处 被 六 























Far 
RA Bug tet 


AN 





个 副本 ， 这 样 保 i 








Mi 








ja 
(4) 数据 保护 
IEK 
步 的 时 间 开销 ， 导 致 用户 在 对 对 象 做 出 更 新 等 操作 后 立即 读 取 到 的 可 能 还 是 | 
证 了 数据 的 安全 性 与 一 致 性 。 





里 机 而 
存 
使 某 些 





il. 





























WE S3 中 的 数据 会 被 备份 
“服务 器 出 现 故 障 ， 用 户 数据 仍然 是 可 用 的 。 这 利 





到 多 个 节 AEs; Bp S3 维 























此 露 的 可 能 ， 但 同时 客户 端 
































ru 要 保证 





护 着 一 份 数据 的 多 
FP 机 制 增加 了 数据 同 
日 的 内 容 ， 但 却 保 


为 了 在 数据 的 上 传 、 存 储 以 及 下 载 各 阶段 保证 数据 的 完整 性 ， 用 户 可 以 在 上 传 数据 的 时 
， 以 供 S3 在 接收 完 数据 之 后 判断 传输 中 是 否 发 生 任何 错误 。 而 当 数 据 


候 指定 其 MD5 校 验 值 
成 功 地 存储 到 S3 存储 节点 之 后 ，S3 则 混合 
正确 的 副本 来 修复 损坏 的 数据 。 








的 完整 性 ， 并 使 月 


























15 ”阿里 云 的 安全 措施 


7.5.1 ”概述 


阿里 云 成 并 
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; 501 


使 用 MD5 校 验 和 与 循环 元 余 校 验 机 各 


注重 为 





| 来 检测 数据 











小 企业 提供 
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F 打 造 云 计算 的 基础 服务 3 








规模 、 低 成 本 和 高 可 靠 的 云 计算 应 月 

















SE zs 
H» 
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有 及 服务 。 飞 天 开放 平台 是 阿 是 X 














发 完成 的 


公共 


云 计 

















算 平台 。 


该 平台 所 
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7.5.2 ”安全 策略 


1. 数据 安全 


阿里 云 的 去 服务 运行 在 一 个 多 租户 、 
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个 云 服务 是 弹性 计算 服务 (ECS)。 随 后 阿里 
储 服务 “OSS)、 关 系 型 数据 库 服务 (RDS)、 
务 (ODPS )， 并 基于 弹性 计算 服务 提供 了 阿 生 
Web 应 用 运行 及 托管 的 平 


4] 











放 结 构 化 数据 服务 COTS )、 











H zs XE 





出 了 
开放 数据 处 到 











开放 存 


EHR 


E 云 服务 引擎 (ACE) 作为 第 三 方 应 用 开发 和 


分 布 式 的 环境 ， 而 不 是 将 每 个 用 户 的 数据 隔离 到 一 












































台 机 器 或 一 组 机 器 上 。 这 个 环境 是 由 阿里 云 自主 研发 的 大 规模 分 布 式 操作 系统 “飞天 ”将 成 干 
上 万 台 分 布 在 各 个 数据 中 心 、 拥 有 相同 体系 结构 的 机 器 连接 而 成 的 。 

(D 访问 与 隔离 ”阿里 云 通 过 ID 对 AccessId 和 AccessKey 安全 加 密 以 实现 对 云 服 务 用 户 
的 身份 验证 。 阿 里 云 运 维 人 员 访 问 系统 时 ， 需 经 过 集中 的 组 和 角色 管理 系统 来 定义 和 控制 其 访 
问 生 产 服 务 的 权限 。 每 个 运 维 人 员 都 有 自己 的 唯一 身份 ， 经 过 数字 证 书 和 动态 令 牌 双重 认证 后 
通过 SSH 连接 到 安全 代理 进行 操作 ， 所 有 登录 和 操作 过 程 均 被 实时 审计 。 

阿里 云 通过 安全 组 实现 不 同 用 户 间 的 隔离 需求 ， 安 全 组 通过 一 系列 数据 链 路 层 和 网 络 层 
访问 控制 技术 实现 对 不 同 用 户 虚拟 化 实例 的 隔离 以 及 对 ARP 攻击 和 以 太 网 畸形 协议 访问 的 
隔离 。 

(2) 存储 与 销毁 ”客户 数据 可 以 存储 在 阿里 云 所 提供 的 “盘古 ”分 布 式 文 件 系统 或 “有 先 ” 
分 布 式 文件 系统 中 。 从 云 服务 到 存储 栈 ， 每 一 层 收 到 的 来 自 其 他 模块 的 访问 请 求 都 需要 认证 和 授 
权 。 内 部 服务 之 间 的 相互 认证 是 基于 Kerberos 安全 协议 来 实现 的 ， 而 对 内 部 服务 的 访问 授权 是 基 
于 能 力 (Capability〉 的 访问 控制 机 制 来 实现 的 。 内 部 服务 之 间 的 认证 和 授权 功能 由 云 平台 内 置 的 
安全 服务 来 提供 。 

阿里 云 的 云 服务 生产 系统 会 自动 消除 原 有 物理 服务 器 上 硬盘 和 内 存 数据 ， 使 得 原 用 户 数 
据 无 法 恢复 。 对 于 所 有 外 包 维 修 的 物理 硬盘 均 采 用 消 磁 操作 ， 消 磁 过 程 全程 视 频 监控 并 长 期 保 
留 相 关 记 录 。 阿 里 云 定期 审计 人 硬盘 擦 除 记录 和 视频 证 据 以 满足 监控 合 规 要 求 。 

2. 访问 控制 

为 了 保护 客户 和 自身 的 数据 资产 安全 ， 阿 里 云 采 用 一 系列 控制 措施 ， 以 防止 未 经 授权 的 访问 。 

(1) 认证 控制 ”阿里 云 每 位 员工 拥有 唯一 的 用 户 账 号 和 证 书 ， 这 个 账号 作为 阻 断 非 法 外 
部 连接 的 依据 ， 而 证 书 则 是 作为 抗 抵赖 工具 用 于 每 位 员工 接 入 所 有 阿里 云 内 部 系统 的 证 明 。 

阿里 云 密码 系统 强制 策略 用 于 员工 的 密码 或 密 钥 ， 包 括 密码 定期 修改 频率 、 密 码 长 度 、 
密码 复杂 度 和 密码 过 期 时 间 等 。 对 生产 数据 及 其 附属 设施 的 访问 控制 除去 采用 单 点 登录 外 ， 均 
强制 采用 双 因 素 认 证 机 制 。 

(2) 授权 控制 ”访问 权限 及 等 级 是 基于 员工 工作 的 功能 和 角色 ， 最 小 权限 和 职责 分 离 是 
所 有 系统 授权 设计 基本 原则 。 例 如 根据 特殊 的 工作 职能 ， 员 工 需要 被 授予 权限 访问 某 些 额外 的 
资源 ， 则 依据 阿里 云 安全 政策 规定 进行 申请 和 审批 ， 并 得 到 数据 或 系统 所 有 者 、 安 全 管理 员 或 
其 他 部 门 批 准 。 所 有 批准 的 审计 记录 均 记 录 于 工作 流 平台 ， 平 台 内 控制 权限 设置 的 修改 和 审批 
过 程 的 审批 政策 确保 一 致 。 
G) 审计 所 有 信息 系统 的 日 志和 权限 审批 记录 均 采 用 碎片 化 分 布 式 离 散 存 储 技术 进行 
长 期 保存 ， 以 供 审计 人 员 根 据 需 求 进行 审计 。 

3. 基础 安全 

COO 云 安全 服务 ”阿里 云 为 广大 云 平 台 用 户 推出 基于 云 计算 架构 设计 和 开发 的 云 盾 海量 
B; DDoS 清洗 服务 ， 对 构建 在 云 服务 器 上 的 网 站 提供 网 站 端口 安全 检测 、 网 站 Web 漏洞 检 
测 、 网 站 木马 检测 三 大 功能 的 云 盾 安全 体检 服务 。 

C2) 漏洞 管理 ”阿里 云 在 漏洞 发 现 和 管理 方面 具备 专职 团队 ， 主 要 责任 是 发 现 、 跟 踪 、 
追查 和 修复 安全 漏洞 ， 并 对 每 个 漏洞 进行 分 类 、 严 重 程度 排序 和 跟踪 修复 。 漏 洞 安全 威胁 检 
查 主要 通过 自动 和 手动 的 渗透 测试 、 质 量 保 证 流程 、 软 件 的 安全 性 审查 、 审 计 和 外 部 审计 工 
HET. 
(3) 网 络 安全 阿里 云 采用 多 层 防 御 体系 ， 以 保护 网 络 边界 面临 的 外 部 攻击 。 阿 里 云 网 
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络 安全 策略 主要 包括 : 外 控制 网 络 流量 和 边界 ， 使 
进行 强制 隔离 ， 凶 网 络 防 火 墙 和 ACL 策略 的 管理 ， 包 括 变更 管理 、 同 行业 审 
用 个 人 授权 限制 设备 对 网 络 的 访问 ;外 通过 自 定 义 的 前 端 服务 器 定向 所 有 外 部 流量 














ws Gf 









































的 路 由 ， 可 帮助 检测 和 禁 ] 


上 恶意 的 请 求 ，@@ 建 立 内 
































(40. 传输 层 安全 


























阿里 云 提供 的 很 多 服务 都 采 
里 云端 到 接收 者 计算 机 实现 加 密 传输 。 








1.6 Hadoop 的 安全 措施 























Hadoop 是 























目前 最 常见 且 实际 应 用 在 大 规模 商业 软件 的 云端 计算 平台 
为 工业 界 和 学 术 界 公认 的 进行 云 计算 应 用 和 研究 的 标准 平台 。 然 而 ， 其 安全 机 














要 实施 基于 Hadoop 解决 方案 的 


7.6.1 Hadoop 概述 
1. Hadoop 架构 








JER T Bug, 
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o 


用 行业 标准 的 防火 墙 和 ACL 技术 对 网 络 





计 和 自动 测 


部 流量 汇聚 点 ， 帮 助 更 好 地 实行 监控 。 
用 安全 的 HITPS。 通 过 HTTPS， 信 息 在 阿 


Hadoop 已 经 成 
由 方面 还 是 对 想 





Hadoop 架构 依据 Google 研究 者 所 发 表 的 关于 BigTable 和 GFS 等 学 术 论文 提出 的 概念 区 


隆 而 成 ， 





Tr 
In] 
2ou 
Ke 


实现 大 数据 量 的 读 取 。 








因此 它 与 Google 内 部 使 月 
， 相 对 于 现 有 的 分 布 式 系统 ，Hadoop E 


























上 的 云端 计算 架构 非常 相似 。Hadoop EET] 


Hadoop 包含 有 三 个 核心 模块 ， 即 HDFS、Hbase 和 MapReduce. 











HDFS 为 Hadoop Distributed File System 的 缩写 。HDFS 由 
色 组 成 ，HDFS 是 将 数据 文件 以 块 (Block). 方式 存储 在 许多 的 
再 通过 NameNode 来 处 理 和 分 析 。 此 外 HDFS 5 GFS 不 同 的 地 方 在 于 ， 它 改进 








节点 (DataNode ) 两 个 角 
DataNode 上 ， 















































了 NameNode 的 数量 ， 
善 了 当 只 有 一 台 NameNod 











数据 处 理 方式 一 次 写 入 、 多 次 读 取 ， 当 数据 经 过 建立 、 写 入 后 就 不 允许 更 改 ， 采 























已 经 不 是 只 有 一 台 NameNode 来 应 付 所 有 可 能 发 4 
e 主机 时 随时 可 能 会 故 隐 的 情形 。HDFS 的 主要 概念 是 





名 字 节 点 (NameNode) 和 数据 





环境 
重 在 容错 性 及 廉价 的 硬 设备 上 ， 用 很 小 的 预算 就 





yc 








较 





AR 
































的 情形 ， 也 大 大 改 








以 有 效率 的 
































式 ， 加 在 原 有 数据 后 面 。 











上 。 而 HDFS 会 将 


PS 


Row Key 上 有 着 不 同 版 本 
字符 串 ， 并 没有 形态 。 











R2 


MapReduce 是 一 个 大 





MapReduce 框架 是 典型 的 Master/Slaves (3 


区 块 复种 
HBase 是 一 个 分 布 式 数据 库 ， 建 构 于 HDFS 之 上 。 
元 格 是 有 版 本 的 ， 主 要 的 索引 为 行 键 (Row Key), 


当 HBase 在 写 入 数据 时 会 
存储 器 ， 若 主机 无 法 正常 运作 时 ， 此 时 使 用 Log 来 
去 搜寻 到 数据 时 就 会 从 HDFS ! 




























































































的 时 间 蕉 ， 每 写 进 一 次 数 




















寻找 。 
794) fi AN 





























JobTracker 负责 资源 的 管理 


《节点 资源 和 计算 资源 等 ) 以 及 人 


表 都 是 一 





HBase 通过 主要 索引 做 排 
个 新 的 版 本 。 写 入 的 数据 都 为 
E 写 入 Log (WAL Log) 和 目标 主机 的 易 失 
次 复 检 查 点 (Checkpoint) 之 


匡 架 ， 利 用 大 量 的 运算 资源 ， 加 速 处 理 庞 大 的 数据 量 。 
E/M) 结构 ， 也 称 为 JobTracker-TaskTracker 。 














E 务 生命 周期 





度 查 看 和 容错 等 )。TaskTracker 主要 负责 任务 的 开启 /销毁 、 
JobTracker 所 在 节点 称 为 Master，TaskTracker 所 在 节点 称 为 Slaves。Hadoop 集群 由 一 个 主 节 
点 Master 和 若干 个 从 节点 Slaves 组 成 。Hadoop MapReduce 的 框架 如 图 7-5 所 示 。 
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附加 的 方 








通常 数据 会 以 预 设 64MB 为 单位 切割 成 区 块 分 散 存储 在 不 同 数据 节 
上 为 多 个 副本 存储 在 不 同 的 数据 节点 作为 备份 。 
行 与 列 构成 一 个 数据 表 ， 数 据 表单 























F, EFI 








后 的 数据 ， 无 








(任务 调度 、 进 


向 JobTracker 汇报 任务 状态 。 





Map 阶段 





Reduce 阶段 







Map 函数 Reduce 函数 





王 务 跟踪 器 








DRM 
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任务 跟踪 器 


从 节点 从 节点 


H 





图 7-5 Hadoop MapReduce 框架 











w 
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SNFA 


MapReduce 的 处 理 程序 分 为 两 个 阶段 Map 和 Reduce。 当 数据 开始 进行 运算 ， 系 统 会 将 


输入 和 输出 都 采用 Key-value 对 方式 切割 成 许多 部 分 ， 分 别传 给 不 同 的 Mapper 
































改 处 理 ， 在 集 








群 中 的 计算 机 都 会 参与 运算 的 过 程 ， 位 于 Master 的 JobTracker 负责 发 送 Map 指令 或 Reduce 


指令 给 Slave 中 的 TaskTracker， 经 由 Map 处 理 过 后 的 数据 ， 会 暂 存 在 内 存 内 ， 








这 些 数据 称 为 

















中 介 数 据 ，Reduce 再 将 具有 相同 中 介 值 的 数据 整合 出 最 后 的 结果 ， 并 存储 在 用 户 设 定 的 位 置 








如 HDFS。 
2. Hadoop 的 安全 问题 





























对 于 像 金融 、 政 府 、 医 疗 保健 和 其 他 对 敏感 数据 的 访问 有 严格 监管 的 行业 ， 如 若 使 用 












































Hadoop 进行 大 数据 处 理 ， 则 必须 确保 Hadoop 集群 满足 如 下 儿 个 要 求 : 




















1) 周边 安全 。 通 过 网 络 安全 、 防 火 墙 和 认证 机 人 制 等 确认 用 户 身 份 ， 确 保 Hadoop 集群 访 






































问 的 安全 。 











2) 数据 安全 。 通 过 屏蔽 和 加 密 等 技术 ， 保 护 Hadoop 集群 中 的 数据 不 会 被 非法 访问 。 
3) 访问 安全 。 通 过 ACL 和 细 粒 度 授权 ， 定 义 授 权 用 户 和 应 用 程序 对 集群 数据 的 权限 。 


























但 是 ，Hadoop 最 初 的 设想 是 : Hadoop 集群 总 是 处 于 可 信 环 境 中 ， 由 可 信用 户 使 用 的 相互 















































协作 的 可 信 计 算 机 组 成 ， 另外， 其 应 用 场景 主要 是 围绕 着 如 何 管理 大 量 的 公共 
须 考虑 数据 的 安全 性 问题 ， 因 此 Hadoop 的 早期 版 本 中 并 没有 考虑 安全 性 问题 。 









































Web 数据 ， 无 


随 着 Hadoop 在 数据 分 析 和 处 理 平 台中 的 地 位 日 益 凸 显 ， 安 全 专家 开始 关注 来 自 Hadoop 

















集群 内 部 的 恶意 用 户 的 威胁 。 比 如 : 


























1) Hadoop 并 没有 设计 用 户 及 服务 器 的 安全 认证 机 制 ， 由 于 Hadoop 并 没有 设计 用 户 认 



























































证 ， 使 得 任何 用 户 都 能 冒充 其 他 用 户 非 法 访问 被 冒充 用 户 的 HDFS 或 MapReduce， 从 而 进行 


一 些 非法 的 对 被 冒充 用 户 有 人 危害 的 操作 ， 如 恶意 提交 作业 、 算 改 HDFS 上 的 数据 和 修改 
JobTracker 状态 等 。 尽 管 在 版 本 0.16 以 后 ，HDFS 增加 了 文件 和 目录 的 权限 ， 但 是 由 于 用 户 无 





























须 认 证 ，HDFS 的 权限 控制 还 是 极其 容易 绕 过 ， 人 允许 一 个 用 户 伪 装 成 任意 一 
































个 用 户 ， 同 时 








Hadoop 计算 框架 也 没有 进行 双向 验证 ， 一 个 恶意 的 网 络 用 户 可 以 模拟 一 个 正常 的 集群 服务 加 





入 Hadoop 集群 ， 去 接受 JobTracker 和 NameNode 的 任务 指派 。 





2) Hadoop 缺乏 相应 的 安全 授权 机 制 。Hadoop 在 DataNode 服务 器 上 不 仅 缺乏 相应 的 认 

















证 ， 而 且 也 缺少 相应 的 访问 控制 机 制 。 当 用 户 知道 BlockID 后 ， 可 以 绕 过 相对 应 的 认证 和 授权 
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于 





Ti 





缺乏 相应 








机 制 ， 直 接 对 DataNode 上 的 Block 进行 访问 ， 而 且 可 以 随意 写 入 或 修改 DataNode 上 的 数据 。 
的 安全 授权 机 制 ， 用 户 还 可 以 任意 修改 或 销毁 其 他 用 户 的 作业 。 


3) Hadoop 缺乏 相关 的 传输 以 及 数据 加 密 。 虽 然 在 Master 与 Slave 之 间 、Client 与 服务 器 之 


司 的 数据 传输 以 Socket 方式 实现 ， 采 

















To 


















































Ho Apache 专门 为 了 解决 Hadoop 的 安全 
和 授权 机 制 ， 后 来 又 为 其 加 入 Kerberos 身份 认 训 











] 的 是 TCPAP， 但 是 在 传输 和 加 密 时 并 没有 进行 加 密 处 




















而 且 由 于 各 节点 之 间 的 数据 是 通过 明文 传输 的 ， 数 据 容易 在 传输 的 过 程 中 被 窃取 。 


2009 年 ， 关 于 Hadoop 安全 性 的 讨论 接近 和 白热化， 安全 被 作为 一 个 高 优先 级 的 问题 被 提 











7.6.2 Hadoop 内 置 安全 机 制 


目前 ，Hadoop 内 署 的 安全 机 制 主要 如 下 : 


务 
接 。 
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和 授 
根据 





发 出 


为 DataNode 没有 文 伯 


对 接 
































局 洞 问题 组 成 了 一 个 











1) 在 RPC 连接 上 进行 双向 认 训 
层 中 添加 了 权限 认 订 








Hadoop 在 RPC 




















FE 和 基于 ACL 的 访问 探 人 






































其 中 SASL 协商 使 用 Kerberos 1% DIGEST-MD5 协议 。 





2) HDFS 使 用 的 认证 。 一 方面 指 强制 执行 HDFS 的 文件 许可 ， 使 用 Kerberos 协议 认证 
FE， 这 个 授权 令 牌 可 以 作为 接 下 来 访问 HDFS 的 凭证 ， 即 可 








权 令 牌 认 订 








文件 许可 强制 执行 对 HDFS ! 























一 个 块 访问 令 牌 给 客户 端 ， 只 

















o 











i» AS 





团队 ， 为 Hadoop 增加 安全 认证 
E Lr 


用 SASL/GSS API 进行 连 


























文件 的 访问 控制 ， 另 一 方面 指 用 于 数据 块 访问 控制 的 块 访 
问 令 牌 。 当 需要 访问 数据 块 时 ，NameNode 会 根据 HDFS 的 文件 许可 做 出 访问 控制 决策 ， 并 
有 使 用 这 个 令 牌 才能 从 相应 的 DataNode 获取 数据 块 。 因 
或 访问 许可 的 概念 ， 所 以 必须 在 HDFS 许可 和 数据 块 的 访问 之 间 建 立 




















E. Hadoop 的 客户 端 通过 Hadoop 的 RPC 访问 相应 的 服 
FE 机 制 ， 所 有 的 RPC 都 会 使 





以 通过 NameNode， 




















30 用 作业 令 牌 强制 任务 授权 。 作 业 令 牌 是 由 JobTracker 创建 的 ， 传 给 TaskTracker， 确 保 每 
个 Task UTZ) 只 能 做 交 给 它 去 做 的 任务 ， 也 可 以 把 Task 配置 成 当 用 户 提交 作业 时 才 运 行 ， 简 


























化 访 





如 3 


每 个 
块 的 








问 控制 检查 。 这 样 就 防止 了 恶意 用 户 使 有 
4) HDFS 在 启动 时 ，NameNode 117 
在 安全 模式 下 ，NameNode 会 检测 数据 块 上 















































E 进 入 
的 最 小 副本 数 ， 当 






































H Task 干扰 TaskTracker EAH 











他 用 户 的 Task。 


个 安全 模式 ， 此 时 系统 不 会 写 入 任何 数据 。 
一 定 比 例 的 数据 块 达 到 最 小 副本 数 























时 ， 系 统 就 会 退出 安全 模式 ， 否 则 系统 会 自动 补 全 副本 以 达到 一 定 的 数据 块 比 列 。 








5) 当 客 户 端 从 HDFS 获得 数据 
数据 块 的 校 验 和 来 验证 这 个 数据 
副本 ， 以 保证 数据 的 完整 性 和 可 用 性 。 
从 以 上 的 描述 可 以 看 出 ，Hadoop 内 置 的 安全 机 制 主要 是 依赖 Kerberos 协议 。 然 而 ， 该 协 







































































议 # 


没有 涵盖 企业 在 安全 方面 的 需求 ， 如 基 






































强 的 


认证 方式 的 组 织 而 言 ， 这 意味 着 他 们 要 单独 ] 
3) 有 限 的 授权 能 力 。 尽 管 Hadoop 能 基于 用 户 及 群 组 许可 和 访问 控制 列表 进行 授权 ， 但 








Hadoop 版 本 。 





2) 以 Kerberos 为 中 心 的 方式 。Hadoop 依靠 Kerberos 进行 身份 验证 。 
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如 下 : 








lht 73 
LA dr 
HX 














EET 
































时 ， 客 户 端 会 检测 从 DataNode 收 到 的 数据 块 ， 通 过 检测 
块 是 否 损坏 。 如 果 损 坏 则 从 其 他 DataNode 获得 这 个 数据 

















角色 的 验证 和 LDAP 的 支持 等 。 因 此 ， 很 多 厂 





年 来 纷纷 采取 措施 ， 积 极 应 对 Hadoop 的 安全 性 问题 。 但 是 ， 有 些 安全 问题 可 能 需要 第 三 
方 的 Hadoop 安全 补充 工具 来 解决 。 其 原因 
D 静态 数据 不 加 密 。 目 前 HDFS 上 的 静态 数据 没有 加 密 。 导 
加 密 有 严格 安全 要 求 的 组 织 ， 被 迫使 月 





g 些 对 Hadoop 集群 中 的 数据 
第 三 方 工具 实现 HDFS 层面 的 加 密 ， 或 安全 性 经 过 加 

















FARE. 

















对 于 采用 其 他 身份 












































还 不 能 完全 满足 企业 严格 的 安全 性 需求 。 因 此 ， 对 于 企业 自身 而 言 ， 需 要 自行 实现 合适 的 基于 
角色 的 安全 访问 机 制 。 比 如 有 的 组 织 基 于 XACML 和 基于 属性 的 访问 控制 ， 使 用 灵活 动态 的 
访问 控制 策略 。 

4) 安全 模型 和 配置 的 复杂 性 。Hadoop 的 认证 有 几 个 相关 的 数据 流 ， 用 于 应 用 程序 和 
Hadoop 服务 的 Kerberos RPC 认证 ， 以 及 使 用 代理 令 牌 、 块 令 牌 和 作业 令 牌 等 。 对 于 网 络 加 
密 ， 也 必须 配置 几 种 加 密 机 制 ， 用 于 SASL 机 制 的 保护 质量 等 。 所 有 的 这 些 设置 都 要 分 别 进行 
配置 ， 并 且 很 容易 出 错 。 

7.6.3 ”第 三 方 解 决 方案 

目前 ，Hadoop 安全 市 场 已 出 现 爆 炸 性 的 增长 ， 很 多 厂商 都 发 布 了 安全 加 强 版 的 Hadoop 
和 对 Hadoop 的 安全 加 以 补充 的 解决 方案 。 比 如 Intel 开源 安全 版 Hadoop 项 目 Rhino. Rhino 
项 目 所 列 出 的 希望 在 Hadoop 中 实现 的 安全 特性 有 支持 加 密 和 密 钥 管理 、 一 个 超越 Hadoop 当 
前 提供 的 用 户 及 群 组 ACL 的 通用 授权 框架 、 一 个 基于 认证 框架 的 通用 令 牌 、 改 善 HBase 的 安 
全 性 以 及 改善 安全 审计 。 再 如 ，2013 年 Cloudera 发 布 Hadoop 开源 授权 组 件 Sentry。 组 件 
Sentry 为 了 对 正确 的 用 户 和 应 用 程序 提供 精确 的 访问 级 别 ， 提 供 了 细 粒 度 级 、 基 于 角色 的 授权 
以 及 多 租户 的 管理 模式 。 通 过 引入 Sentry; Hadoop 可 以 在 以 下 几 个 方面 满足 企业 和 政府 用 户 
的 RBAC 需求 : 

(1) 安全 授权 Sentry 可 以 控制 数据 访问 ， 并 对 已 通过 验证 的 用 户 提供 数据 访问 特权 。 

(2) 细 粒 度 访问 控制 Sentry 支持 细 粒 度 的 Hadoop 数据 和 元 数据 访问 控制 。 在 Hive 
H, Sentry 在 服务 器 、 数 据 库 、 表 和 视图 范围 内 提供 不 同 特权 级 别 的 访问 控制 。 

(3) 基于 角色 的 管理 ”Sentry 通过 基于 角色 的 授权 简化 了 管理 ， 可 以 轻易 将 访问 同一 数据 
集 的 不 同 特权 级 别 授予 多 个 组 。 

(4) 多 租户 管理 Sentry 允许 为 委派 给 不 同 管理 员 的 不 同 数据 集 设置 权限 。 在 Hive 中 
Sentry 可 以 在 数据 库 /Schema 级 别 进行 权限 管理 。 

(5) 统一 平台 ”为 确保 数据 安全 ，Sentry 提供 一 个 统一 平台 ， 使 用 现 有 的 Hadoop 
Kerberos 实现 安全 认证 。 同 时 ， 通 过 Hive 等 访问 数据 时 可 以 使 用 同样 的 Sentry 协议 。 

Sentry 架构 主要 由 一 个 核心 授权 提供 者 和 一 个 结合 层 组 成 。 核 心 授权 提供 者 包括 : 中 一 个 
协议 引擎， 可 以 评估 和 验证 安全 协议 ;外 一 个 协议 提供 者 ， 负 责 解析 协议 。 结 合 层 提供 一 个 
可 插 拔 的 接口 ， 实 现 与 协议 引擎 的 对 话 。 

另外 ，Apache 也 有 Accumulo WH, Accumulo 是 一 个 可 靠 的 、 可 伸缩 的 、 高 性 能 的 排序 
分 布 式 的 Key-Value 存储 解决 方案 ， 基 于 单元 访问 控制 以 及 可 定制 的 服务 器 端 处 理 ， 使 用 
BigTable 设计 思路 ， 基 于 Hadoop、Zookeeper 和 Thrift 构建 。 
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7.7 中 国电 信安 全 云 应 用 实践 


771 云 应 用 安全 防护 体系 


电信 运营 商 结合 传统 安全 管理 及 云 计算 系统 的 特点 ， 形 成 了 自己 独特 的 如 图 7-6 所 示 的 
云 计 算 应 用 安全 防护 体系 171。 
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云 计 算 安全 模块 
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基础 设施 安全 (计算 /存储 /网 络 ) 


| 





sa Wa 











图 7-6 云 计 算 应 用 安全 防护 体系 

该 体系 包含 支撑 性 基础 设施 和 云 计 算 安全 模块 两 部 分 。 

1) 支撑 性 基础 设施 的 安全 功能 组 件 包括 数据 安全 、 灾 难 备份 与 恢复 、 用 户 认证 及 管理 、 
密 钥 分 配 与 管理 以 及 安全 事件 管理 与 审计 。 

2) 云 计算 安全 模块 可 以 细 分 为 IaaS、PaaS 和 SaaS。 具 体 来 讲 : @IaaS 层 包括 计算 能 力 
接口 安全 、 虚 拟 化 安全 、 数 据 传输 安全 、 基 础 设置 安全 和 物理 安全 ;，@PaaS 层 包 括 模块 集成 
安全 和 中 间 件 安全 ; GSaas 层 包括 应 用 安全 和 内 容 安全 。 

其 中 虚拟 化 安全 、 数 据 安全 及 隐私 保护 是 云 计算 应 用 安全 防护 的 重点 和 难点 。 


7.7.2” 云 安全 框架 
Jj 电信 云 平台 安全 问题 ， 有 信行 X B IRAJ AY d ZR o ] 
针对 电 f 台 的 安全 问题 ， 电 信行 业 提 出 了 如 图 7-7 所 示 的 云 计 算 安全 框架 0。 主 要 
安全 问题 如 下 : 
数据 安全 数据 备份 恢复 || 镜像 文件 保护 | | 机 密 数据 保护 |[ 残余 数据 处 理 





































































































































































































主机 安全 





VMM 安 全 VMM 访 问 控制 || VMM 身 份 鉴别 


虚拟 防火 墙 ]| 虚 所 安全 划分 
全 域 
网 络 访问 控制 |[ 网 络 入 侵 防 护 


物理 安全 | 物理 访问 控制 机 房 位 置 Bk. Sm. HORAE 


图 7-7， 云 计算 安全 框架 
1) 网 络 安全 问题 。 网 络 安全 问题 重点 考虑 虚拟 安全 域 访问 控制 、 虚 拟 安全 域 划分 方式 以 
及 相应 的 虚拟 防火 墙 部 署 和 配置 等 虚拟 安全 域 的 问题 ， 另 外 还 要 考虑 传统 的 安全 问题 。 
2) 主机 安全 问题 。 包 括 用 户 虚拟 机 安全 和 虚拟 机 管理 程序 安全 。 其 中 虚拟 机 管理 程序 安 
192 





虚拟 安 




































































安全 问题 。 


离 和 残余 数据 的 处 ] 
4) 应 用 安全 问题 和 物理 














全 主要 包括 虚拟 机 管理 








程序 安全 漏洞 检测 、 物 到 

















JAN 


3) 数据 的 安全 问题 。 数 据 安 全 
理 等 问题 ， 另 外 ， 传 统 业务 3 








问题 需要 重点 考虑 的 是 虚拟 环境 下 月 
F 台 的 机 密 数 据 保护 和 数 ] 




















1.8 ”基于 Had00p 的 访问 控制 实验 


Asus PH 
Kerberos 验证 系统 ， 以 加 强 云 端 平台 安全 。 
7.8.1 访问 控制 概述 





是 的 目标 是 防 J 





访问 控 





在 ISO/IEC 27002 标准 


和 网 络 访问 控制 等 问题 ， 























安全 问题 同 传统 云 平 台 的 安全 问题 基本 一 致 。 
































1) 访问 控制 的 营运 要 求 。 


2) 使 用 者 存 取 管 理 。 

















3) 使 用 者 责任 。 


4) 网 络 访问 控 
5) 操作 系统 访问 控 秆 
6) 应 用 系统 与 信息 访问 控制 。 
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Xm 
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c— 
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7) 移动 计算 与 远程 操作 。 


这 里 以 “使 用 者 存 取 管 理 














7.8.2 Kerberos 简介 


ARAH 























的 通过 传统 的 加 密 技 术 来 执行 认 订 
为 了 能 有 效 地 提供 验 订 








TVA CRAT fT] 



































X.509 公 钥 凭证 的 网 络 认 记 
为 其 相互 提供 身份 验证 ， 并 保证 其 














任何 未 经 授权 的 有 
Ph， 对 于 访问 控制 的 规定 如 下 ; 














日 实体 主机 与 虚拟 主机 混合 ， 并 在 此 环境 中 建立 基于 Hadoop 云端 











昌 户 进行 存 取 等 操作 ， 以 保护 信息 系统 的 安全 。 





”和 “应 用 系统 与 信 ， 









































互 支 持 ， 防 止 因 单 
验证 机 制 ， 并 以 主 从 架构 及 利用 集中 密 钥 控 管 方式 ， 以 及 应 用 TGS， 通 过 共享 私 钥 的 加 密 提 
供 各 项 服务 ， 建 立 安全 及 可 靠 的 身份 鉴别 系统 。 
一 般 账户 密码 方法 上 
此 通常 使 





























才 











1) 由 于 Hadoop 是 分 布 式 系统 ， 因 






































务 ， 因 此 如 果 以 一 般 的 账号 密码 作为 吴 份 验证 及 访问 探 人 
几 更 改 密码 ， 使 用 Kerberos 验证 时 就 可 以 不 需要 登入 每 台 








入 每 台 Hadoop RREH 











是 云 计算 系统 新 增 的 





昌 户 镜像 文件 保护 、 数 据 隔 
据 备份 恢复 也 不 能 丢 。 
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BE 
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乱 访 问 控制 ”两 项 规定 为 实验 对 象 。 


工学 院 的 “雅典 娜 计划 (Project Athena)” 的 Kerberos， 是 一 种 被 业内 人 士 公 
EHN. Kerberos 的 设计 针对 客户 端 /服务 器 模型 ， 




















协议 信息 不 受 窃 听 和 重播 攻击 。Kerberos 是 通过 一 种 可 信任 
E 的 第 三 方 认证 服务 。 
ERI, Kerberos 采用 模块 化 与 分 布 式 系统 架构 ， 让 系统 之 间 能 够 相 














系统 故障 而 导致 访问 控制 验证 的 失败 。Kerberos 以 第 三 方 的 形式 提供 身份 


采用 Kerberos 与 使 













































































的 不 同 之 处 在 于 如 下 几 个 方 再 
用 Hadoop 系统 时 不 会 只 有 












































j 来 服 





主机 











吓 时 ， 每 当 需 要 更 改 密码 就 必须 一 一 登 





主机 更 改 密码 。 


2) Kerberos 验证 使 用 Ticket 实现 单一 登录 的 功能 ， 并 由 用 户 第 一 次 验证 输入 用 户 信 息 取 








得 Ticket 之 后 , 











于 次 使 朋 








可 减少 数据 的 输入 工 
3) 一 般 使 用 账号 密码 的 方式 可 能 会 有 部 分 密码 数据 会 传递 到 其 他 服务 器 中 ， 因 此 会 有 被 





E. 





崩 经 过 Kerberos 验 训 























核查 其 他 系统 时 ， 就 可 以 不 重复 输入 用 户 信息 ， 
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窃取 破解 的 可 能 ， 使 用 Kerberos 验证 是 针对 系统 的 使 用 而 每 次 产生 Ticket， 并 会 记载 使 用 期 
E 
































限 ， 即 使 被 窃取 也 只 能 在 特定 范围 使 用 ， 无 法 取得 详细 验证 信息 。 








4) 当 应 用 系统 需要 使 用 许多 资源 时 ， 又 要 使 用 








身份 验证 功能 保护 系统 安全 ， 此 时 使 用 





Kerberos 身份 验证 可 将 验证 工作 转移 到 Kerberos 验证 服务 器 中 ， 以 降低 应 用 系统 服务 器 的 资 



































5) 使 用 Kerberos 实现 访问 控制 的 好 处 ， 是 针对 























户 与 应 用 系统 两 个 方面 都 需 经 过 Kerberos 


的 验证 ， 因 此 用 户 与 应 用 系统 是 相互 可 信任 的 。 经 过 Kerberos 验证 后 ， 用 户 可 以 信任 系统 不 会 


有 被 伪造 的 可 能 ， 所 以 可 以 放心 地 存 取 数据 ， 此外， 应 用 系统 也 可 以 确定 用 户 的 身份 ， 但 是 使 
























































用 一 般 的 账号 密码 作为 访问 控制 方式 则 无 法 达到 此 要 求 ， 只 能 单纯 地 验证 使 用 者 身份 。 














1E Kerberos 验证 系统 中 共有 如 下 四 个 角色 : 
D 客户 端 ， 提 出 验证 需求 的 Kerberos 使 用 者 端 。 























2) 应 用 服务 器 端 ， 提 供用 户 应 用 程序 服务 的 Kerberos 服务 器 端 。 
3) 身份 鉴别 服务 器 (AS)， 作 为 使 用 者 的 身份 鉴别 并 维护 使 用 者 和 应 用 服务 器 之 间 所 需 





验证 的 权限 数据 。 


























4) 通行 证 签发 服务 器 〈TGS)， 用 以 产生 客户 端 与 应 用 服务 器 每 次 通信 时 所 要 使 用 的 通信 





密 钥 (包含 Session Key 与 Ticket)。 其 中 身份 鉴别 服务 器 与 通行 证 签发 服务 器 所 组 成 的 系统 称 

















为 KDC， 当 客户 端 向 KDC 请 求 与 应 用 服务 器 认证 时 ， 








并 透 过 ServiceTicket 的 机 制 ， 安 全 地 将 Session Key 分 别传 送 给 客户 端 与 服务 器 ， 以 便 两 者 进 








行 相互 验证 的 工作 。 












































KDC 会 建立 两 个 相同 的 Session Key; 

















使 用 Kerberos 进行 身份 验证 的 六 个 步骤 即 执行 过 程 如 图 7-8 所 示 。 














步骤 5 
E» 
qu e 
CS 步骤 6 
Kerberos 
客户 端 
图 7-8 Kerberos 身份 验 训 


步骤 1: 客户 端 向 KDC 请 求 TGT。 客 户 端 计 算 机 上 的 Kerberos 服务 首先 向 KDC 的 AS 








发 送 一 个 Kerberos 身份 认证 服务 请 求 ， 以 期 获得 TG 
TGS 的 ID 及 一 个 加 密 的 时 间 戳 。 








Kerberos 


应 用 服务 器 


F 过 程 示 意 











S 提供 的 服务 。 该 请 求 包 括 自己 的 ID. 

















步 又 2: KDC 发 送 加 密 的 TGT 和 登录 会 话 密 钥 。KDC 会 利用 该 用 户 的 密 钥 ， 解 密 随 
Kerberos. 身份 认证 请 求 一 起 传送 的 时 间 惟 。 如 果 该 时 间 锥 有 效 ， 则 用 户 是 有 效用 户 。KDC 8 




































































份 认证 服务 会 创建 一 个 登录 会 话 密 钥 ， 并 使 用 用 户 的 密 钥 对 该 副本 进行 加 密 。 然 后 ，KDC H 




















份 认证 服务 再 创建 一 个 TGT， 包 括 用 户 信 息 和 会 话 密 
194 

















钥 。 同 时 ，KDC 身份 认证 服务 使 用 自己 





的 密 钥 加 密 
于 进行 了 加 密 Ur 只 有 真正 的 扩 有 
步骤 3: 客户 端 利 





Zu 















































TGT, Ar. AS 将 客户 端 与 KDC ZH Session Key 与 TGT 传送 给 客户 端 。 由 
了 密 钥 的 用 户 才能 解密 TGT. 
HZ PE KDC 之 间 的 Session Key 5 TGT 向 TGS 请 求 应 用 服务 器 端 














的 ServiceTicket (H TGS 颁发 )。 请 求 信息 包括 














TGT， 以 及 用 户 想 访问 的 服务 和 服务 器 名 称 。 
步骤 4: KDC 确认 客户 端的 身份 后 ， 
Key 和 ServiceTicket 发 送 给 客户 端 。 
步骤 5: 客户 端 利用 客户 端 









































与 应 用 服务 器 之 间 


1" ID、 使 用 Session Key 加 密 的 认证 符 





TGS 将 客户 端 与 应 用 服务 器 端 之 间 加 密 的 Session 





然后 再 利用 





的 Session Key 来 建立 验证 码 ， 然 


验证 码 与 ServiceTicket 向 应 用 服务 器 发 送 一 个 请 求 服 务 。 























步骤 6: 服务 器 与 客户 端 进行 相互 验证 。 应 
密 认证 符 ， FERENT, 然后 与 认证 符 中 的 时 i 
常 为 Smin)， 则 通过 测试 ， 服 务 器 使 
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WRL 















































用 Session Key 对 认证 


服务 器 使 用 Session Key 和 ServiceTicket 解 
司 融 进行 比较 ， 如 果 误 差 在 允许 的 范围 内 〈 通 
符 进 行 加 密 ， 然 后 将 认证 符 《〈 时 间 


















































EO 传 回 到 客户 端 。 客 户 端 用 Session Key 解密 时 间 惟 ， 如 果 该 时 间 惟 与 原始 时 间 戳 相同 ， 则 
该 服务 是 客户 端 所 需 的 ， 此 后 客户 端 可 以 进行 其 他 操作 。 

当 用 户 登 录 以 后 ，TGT 失效 ， 这 样 就 可 以 避免 TGT 被 其 他 用 户 恶意 使 用 。 当 客户 端 需要 
与 其 他 服务 器 节点 通信 时 ， 会 将 加 密 后 的 TGT 发 送 给 TGS。 在 一 般 的 情况 下 ，TGS 和 KDC 
是 共享 同一 个 主机 的 。 























Kerberos 的 设计 适合 





却 是 一 种 相当 完善 的 验证 协议 。 它 运用 集中 私 钥 的 管理 方 
1 中 Kerberos 系统 具有 相互 验证 的 功能 ， 因 








别 ， 尤 其 在 验证 机 和 








| 于 开放 式 网 络 或 内 部 网 络 的 架构 ， 整 个 身份 鉴别 架构 虽然 复杂 ， 但 





式 ， 提 供 主 从 架构 的 第 三 方 身 份 鉴 
此 加 强 了 身份 验证 的 可 信和 度 ， 






































更 重要 的 是 Kerberos 是 一 个 通用 的 标 诊 


7.8.3 ”实现 环境 搭建 
实验 所 用 架构 如 图 7-9 所 示 。 

















ui E 系统 
VM(CentOS) 
Hadoop Server2 





先 安装 VMware 
然后 安装 CentOS 
最 后 安装 Hadoop 

















实现 环境 搭建 步骤 如 下 : 
1) 建立 实验 所 需 的 三 个 操作 系统 。 
QD 在 主机 1 中 安装 CentOS 操作 系统 。 





全， 所 以 提高 了 与 


Hadoop 用 户 


Ubuntu 
Kerberos Server 








~ 


他 系统 整合 的 兼容 性 。 








主机 1 
CentOS 
Hadoop Serverl 





先 安 装 CentOS 
然后 安装 Hadoop 





7-9 实验 环境 架构 示意 
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Q2) ERA Windows 操作 系统 的 主机 2 中 使 用 VMware 软件 ， 建 立 一 个 CentOS 虚拟 操作 
系统 。 

© 在 主机 3 安装 Ubuntu 操作 系统 。 

2) 分 别 于 建立 的 三 个 操作 系统 中 安装 所 需 的 应 用 程序 。 

CD 在 主机 1 的 CentOS 操作 系统 中 安装 Hadoop。 

© 在 主机 2 的 VMware 所 建立 的 虚拟 操作 系统 中 安装 Hadoop. 

© 在 主机 3 中 安装 Kerberos 验证 软件 。 

3) 在 两 台 安装 Hadoop 的 主机 中 建立 Hadoop 所 需 使 用 的 账号 。 

(D 建立 HDFS 操作 账号 。 

®© 建立 MapReduce 操作 账号 。 

4) 在 Kerberos 验证 伺服 主机 中 建立 HDFS 5 MapReduce 所 使 用 的 Kerberos Ticket. 

5) 将 已 建立 的 Kerberos Ticket 分 别传 送 至 两 台 Hadoop 主机 中 。 

6) 设 定 两 台 Hadoop Server 操作 系统 中 的 Kerberos Agent。 

7) 设 定 两 台 Hadoop Server 所 需 变动 的 配置 文件 ， 并 将 Kerberos 所 传送 的 Kerberos Ticket 
整合 在 Hadoop Server 的 配置 文件 中 。 

8) 在 Master Hadoop Server 中 分 别 使 用 HDFS 账号 激活 NameNode Service 和 SecondaryNode 
Service， 使 用 Root 账号 激活 DataNode Service， 使 用 MapReduce 账号 激活 Jobtracker Service 与 
Tasktracker Service 的 服务 程序 。 

9) 在 Slave Hadoop Server 中 使 用 Root 账号 激活 DataNode Service， 使 用 MapReduce 账号 
激活 Task Tracker Service 的 服务 程序 。 






















































































































































































7.8.4 ”实验 流程 


实验 环境 搭建 好 后 ， 就 可 以 编程 验证 基于 Hadoop 云端 平台 的 Kerberos 验证 系统 是 否 能 正 
党 工作。 验证 流程 如 图 7-10 所 示 。 

































建立 Kerberos Server 


整合 Hadoop 与 
Kerberos 验 证 机 制 








建立 Hadoop Server 


上 传 加 密 文档 到 
Hadoop Server 
执行 密 文 解密 操作 

正常 执行 


聆 证 执行 结果 













结果 正确 无 法 执行 


执行 密 文 解密 操作 


正常 执行 


输出 破解 结果 








图 7-10 验证 流程 
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Bsk zx D X 




















云 计 算 开 创 了 开发 和 交付 计算 应 用 服务 的 新 模式 ， 近 年 来 已 经 获得 了 相当 























高 的 重视 。 云 





计算 可 以 影响 软件 生命 周期 的 各 个 阶段 ， 包 括 软件 测试 阶段 。 云 测试 (包括 测试 云 和 使 用 云 测 












































试 ) 是 软件 工程 领域 中 一 个 快速 发 展 的 研究 方向 。 但 是 
关 研 究 属于 云 计算 研究 领域 中 正在 崛起 的 热点 之 一 ， 其 
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测试 仍 在 完善 过 程 中 ， 但 已 经 取得 一 系列 研究 成 果 。 本 章 主要 介绍 云 测试 的 基本 
状 ， 同 时 对 云 测 试 目前 所 面临 的 挑战 、 常 用 的 云 测试 工具 以 及 云 测 试 的 解决 方案 给 出 论述 。 

















8.1 概述 


随 着 对 计算 机 需求 和 依赖 的 与 日 俱 增 ， 计算 机 系统 的 规模 和 复杂 性 急剧 增加 ， 使 得 计算 
机 软件 的 规模 以 惊人 的 速度 急剧 膨胀 。 然 而 ， 对 于 软件 来 讲 ， 无 论 采 用 什么 样 的 技术 和 方法 ， 


























软件 中 都 会 有 故障 存在 。 这 些 软件 故障 需要 通过 测试 来 发 现 。 









































软件 测试 是 保证 软件 质量 的 关键 步 又。 其 根 林 














的 是 以 尽 可 能 少 的 时 间 和 人 力 发 现 并 








云 测试 面临 厦 前 所 未 有 的 挑战 ， 其 相 
E 要 性 与 紧迫 性 已 不 容 忽 视 。 目 前 ， 云 














概念 和 研究 现 














改正 软件 中 潜在 的 各 种 故障 及 缺陷 。 换 言 之 ， 软 件 测试 是 为 了 发 现 故障 而 执行 程序 的 过 
程 。 或 者 说 ， 软 件 测 试 是 根据 软件 开发 各 阶段 的 规格 说 明和 程序 的 内 部 结构 而 精心 设计 的 

















一 批 测 试用 例 即 输入 数据 及 其 预期 的 输出 结果 ， 并 利 月 





软件 故障 的 过 程 吕 。 









































以 尽快 地 改进 。 
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1 试用 例 去 运行 程序 ， 以 发 现 





















































软件 测试 在 整个 软件 开发 周期 中 所 占 的 比例 日 益 增 大 。 












































制 力量 的 40% 以 上 花费 在 软件 测试 中 。 对 于 要 求 高 可 靠 怕 














控 软件 等 ， 其 软件 测试 费用 甚至 高 达 软 件 开发 其 他 阶段 所 花费 用 总 和 的 3 一 5 倍 。 





























时 在 20 世纪 50 年 代 ， 英 国 著名 的 计算 机 科学 家 





























































































































科 成 为 有 理论 指导 的 学 科 。 


8.1.1 软件 测试 的 关键 问题 
软件 测试 主要 涉及 以 下 5 个 方面 的 问题 : 
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给 出 了 程序 测试 的 

















软件 测试 必须 在 软件 上 线 前 进行 ， 以 尽 可 能 多 地 发 现 软 件 中 的 故障 ， 提 高 软件 可 靠 
性 。 测 试 的 目的 不 仅仅 在 于 发 现 错误 ， 在 软件 测试 的 过 程 ， 
生 的 原因 ， 能 够 帮助 项 目 管理 者 发 现 软件 开发 过 程 中 所 存在 


， 通 过 发 现 错误 来 分 析 错 误 产 
的 各 种 缺陷 ， 让 项 目 管理 者 可 


























目前 ， 许 多 软件 开发 机 构 已 将 研 
的 软件 ， 如 飞行 控制 、 核 反应 堆 监 














原始 定义 。 然 


而 ， 测 试 工 作 并 未 受到 重视 。 直 到 70 年 代 以 后 ， 测 试 的 意义 才 逐 渐 被 人 们 认识 ， 软 件 测 试 的 
研究 才 开始 受到 重视 。1982 年 ， 美 国 北 卡罗来纳 大 学 召开 了 首次 软件 测试 技术 会 议 ， 这 是 软 
件 测试 与 软件 质量 研究 与 开发 人 员 的 第 一 次 聚会 ， 这 次 会 议 成 为 软件 测试 技术 发 
里 程 碑 。 自 此 以 后 ， 软 件 测试 理论 和 测试 方法 不 断 完善 ， 从 而 使 软件 测试 这 一 实 








展 的 一 个 重要 
践 性 很 强 的 学 








1. 测试 执行 者 

在 软件 产品 的 开发 过 程 中 ， 通 常 存在 软件 开发 者 和 软件 测试 者 两 种 角色 。 软 件 开发 人 员 
通过 写 代码 而 形成 产品 。 其 工作 主要 包括 分 析 、 设 计 、 编 码 、 调 斌 或 者 文档 编制 。 软 件 测试 人 
员 是 通过 测试 来 检测 软件 产品 中 存在 的 错误 和 缺陷 。 其 工作 主要 包括 编写 测试 用 例 、 构 造 测 
试 、 执 行 测试 及 评估 测试 结果 。 一 般 来 说 ， 开 发 机 构 负责 对 软件 产品 进行 单元 测试 ， 而 系统 测 
试 则 由 专门 的 测试 机 构 或 独立 的 测试 人 员 进 行 。 

2. 测试 内 容 

尽管 软件 测试 的 主要 内 容 是 对 程序 源 代 码 的 测试 ， 但 是 表现 在 程序 中 的 故障 ， 并 不 一 
定 都 是 编码 所 引起 的 ， 很 可 能 是 详细 设计 、 概 要 设计 阶段 ， 甚 至 是 需求 分 析 阶 段 的 问题 所 
引起 的 。 因 此 ， 需 求 分 析 、 概 要 设计 、 详 细 设 计 以 及 程序 编码 等 各 个 阶段 所 得 到 的 文档 ， 
包括 需求 规格 说 明 分 析 、 概 要 设计 规格 说 明 、 详 细 设 计 规 格 说 明 以 及 源 程序 ， 都 应 成 为 软 
件 测试 的 对 象 。 

3. 测试 时 间 

在 现实 中 ， 软 件 模块 开发 结束 之 后 就 可 以 进行 测试 ， 也 可 以 推迟 至 各 模块 装配 到 单个 执 
行程 序 中 再 进行 测试 。 实 践 表明 ， 测 试 开始 的 时 间 越 早 ， 测 试 执行 得 越 频 繁 ， 所 带 来 的 整个 软 
件 开发 成 本 的 下 降 就 会 越 多 。 因 此 ， 测 试 的 一 个 极端 是 每 天 都 进行 测试 ， 一 旦 软件 的 每 个 模块 
发 出 来 之 后 就 对 它们 测试 ， 这 样 尽 管 会 延缓 早期 开发 的 进度 ， 但 是 却 能 够 大 大 减少 将 所 有 模 
块 装配 到 项 目 中 以 后 出 现 问题 的 可 能 性 。 
4. 测试 方法 
软件 规范 说 明 一 个 软件 要 做 什么 ， 而 程序 实现 则 规定 了 软件 应 该 怎样 做 。 对 软件 进行 测 
试 就 是 根据 软件 的 功能 规范 说 明和 程序 实现 ， 利 用 各 种 测试 方法 ， 生 成 有 效 的 测试 用 例 ， 对 软 
件 进 行 测试 。 

软件 测试 的 方法 和 技术 多 种 多 样 ， 根 据 不 同 的 角度 ， 将 这 些 方法 可 以 分 为 不 同 的 类 别 。 
比如 : 根据 测试 对 象 是 否 被 执行 的 角度 ， 可 以 划分 为 静态 测试 和 动态 测试 ， 根 据 软件 的 开发 过 
程 ， 可 以 分 为 单元 测试 、 集 成 测试 、 确 认 测 试 、 验 收 测试 和 系统 测试 ， 根据 是 否 关 心软 件 的 内 
部 结构 和 有 具体 实现 过 程 可 以 划分 为 黑 盒 测试 和 白 盒 测试 ， 根据 测 试 测试 的 策略 ， 可 以 将 测试 分 
为 功能 性 测试 、 结 构 性 测试 、 集 成 与 系统 测试 、 面 向 对 象 的 测试 等 。 

5. 测试 标准 

从 现实 和 经 济 的 角度 来 看 ， 对 软件 进行 完全 测试 不 太 现实 ， 所 以 决定 什么 时 候 停止 测试 
是 一 件 非常 困难 的 事情 。 测 试 完成 的 传统 标准 是 分 配 的 测试 时 间 用 完了 ， 或 完成 了 所 有 的 测试 
又 没有 检测 出 故障 ， 但 这 两 个 完成 标准 都 没有 什么 实用 价值 。 在 实践 中 ， 实 用 的 完成 标准 应 该 
基于 以 下 几 个 因素 : 名 成 功 地 采用 了 有 具体 的 测试 用 例 设 计 方 法 ，@@ 每 一 类 测试 的 覆盖 率 ，(G) 故 
障 检测 率 低 于 指定 的 限度 ， 基 于 故障 检测 数量 的 标准 必须 注 明 故 障 严 重 性 程度 ， 人 检测 出 故障 
I 具体 数量 或 消耗 的 具体 时 间 。 


8.1.2 ”典型 的 软件 测试 方法 
在 软件 测试 理论 迅速 发 展 的 同时 ， 各 种 软件 测试 方法 也 将 软件 测试 技术 提高 到 了 无 法 比 


拟 的 高 度 。 为 了 提高 软件 测试 效率 、 加 快 软件 开发 过 程 ， 一 些 测试 工具 相继 问世 。 下 面 介绍 几 
种 主要 的 测试 方法 。 
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1. 白 盒 测试 
盒 测试 ， 也 称 为 结构 测试 、 罗 辑 驱 动 测试 或 基于 程序 的 测试 。 在 进行 这 类 测试 时 ， 测 

试 人 员 看 到 的 是 被 测 源 程序 的 内 部 结构 ， 测 试 人 员 根据 其 内 部 结构 设计 测试 用 例 。 主 要 目的 就 
是 检查 产品 内 部 结构 是 否 与 设计 规格 说 明 书 的 要 求 相 符合 ， 同 时 测试 程序 中 的 分 支 是 否 都 能 够 
正确 地 完成 所 规定 的 任务 要 求 。 这 种 测试 方法 无 须 关 注 程序 功能 。 
民 据 测试 方法 的 原理 不 同 ， 白 盒 测 试 可 以 分 为 静态 测试 和 动态 测试 。 
(1) 静态 测试 ”静态 测试 是 在 不 执行 程序 的 情况 下 ， 分 析 软 件 的 特性 。 静 态 测试 主 要 
集中 在 需求 文档 、 设 计 文 档 以 及 程序 结构 上 ， 可 以 进行 结构 分 析 、 类 型 分 析 、 接 口 分 析 、 
从 入 输出 规格 说 明 分 析 等 。 其 中 静态 结构 分 析 主 要 利用 图 的 方式 来 表达 程序 内 部 的 结构 ， 
常用 的 有 函数 关系 图 和 内 部 控制 流 图 等 。 检 查 性 测试 主要 是 对 代码 的 检查 ， 即 主要 检查 代 
码 是 否 符合 设计 、 是 和 否 符合 相应 的 标准 以 及 代码 的 逻辑 性 是 否 表达 正确 。 通 过 对 代码 的 检 
查 ， 发 现 程序 中 编写 不 安全 和 不 恰当 的 地 方 ， 找 出 程序 表达 模糊 不 可 移植 的 部 分 。 所 以 在 
进行 静态 检查 前 ， 应 该 准备 好 相应 的 文档 ， 如 需求 分 析 文 档 、 程 序 设计 文档 和 源 代码 清单 
等 ， 以 方便 进行 代码 检查 。 

按照 完成 的 职能 不 同 ， 静 态 测试 方法 或 工具 包括 以 下 几 种 类 型 :代码 审查 ， 帮 助 了 解 
代码 相关 性 ， 跟 踪 程 序 罗 辑 ， 观 看 程序 的 图 形 表达 ， 确 认 死 代码 ， 确 定 需要 特别 关照 的 域 ， 检 
查 源 程序 是 否 遵循 了 程序 设计 规则 ， 典 型 的 规则 包括 结构 化 设计 与 编码 、 使 用 标准 的 编码 格式 
等 ，@) 一 致 性 检查 ， 检 测 程序 的 各 单元 是 否 使 用 统一 命名 或 术语 ， 这 类 工具 通常 用 以 检查 是 否 
遵循 设计 规格 说 明 书 ，@ 错 误 检 查 ， 确 定 差异 和 分 析 错 误 的 重要 性 及 原因 ;，@ 接 口 分 析 ， 检 查 
程序 单元 之 间接 口 的 一 致 性 ， 以 及 是 否 遵循 预先 确定 的 规则 ，@ 输 入 输出 规格 说 明 分 析 ， 借 助 
于 分 析 输 入 输出 规格 说 明生 成 测试 输入 数据 ，@ 数 据 流 分 析 ， 检 测 数据 的 赋值 与 引用 之 间 是 否 
出 现 不 合理 的 现象 ，@ 类 型 分 析 ， 检 测 命 名 的 数据 项 和 操作 是 否 得 到 正确 的 使 用 ，@ 单 元 分 
析 ， 检 测 单 元 或 构成 实体 的 物理 元 件 是 否定 义 正确 以 及 使 用 一 致 。 

(2) 动态 测试 ”动态 测试 是 直接 执行 被 测 程序 以 提供 测试 支持 ， 即 动态 测试 通过 在 
计算 机 上 运行 程序 或 者 程序 片段 ， 根 据 程 序 的 运行 结果 是 否 符合 预期 要 求 来 分 析 判 断 程 
序 可 能 存在 的 问题 和 缺陷 。 因 为 动态 测试 必须 在 计算 机 上 运行 程序 ， 所 以 需要 具备 相应 
的 测试 用 例 。 

动态 测试 所 支持 测试 的 范围 主要 包括 : @ 中 功能 确认 与 接口 测试 ， 测 试 各 个 模块 功能 的 
正确 执行 、 模 块 间 的 接口 、 局 部 数据 结构 、 主 要 的 执行 路 径 及 错误 处 理 等 内 容 ; QUEE 
分 析 ， 对 测试 质量 提供 定量 的 测量 ， 即 履 盖 分 析 可 以 告诉 我 们 被 测试 产品 的 哪些 部 分 已 被 
当前 测试 所 覆盖 ， 哪 些 部 分 还 没有 被 覆盖 到 ; @) 性 能 分 析 ， 程 序 的 性 能 问题 得 不 到 解决 ， 
将 降低 应 用 程序 的 质量 ， 于 是 查找 和 修改 性 能 瓶颈 成 为 改善 整个 系统 性 能 的 关键 ;外 内 存 
分 析 ， 内 存 泄 露 会 导致 系统 运行 的 骨 溃 ， 通 过 测量 内 存 使 用 情况 ， 可 以 掌握 程序 内 存 分 配 
的 情况 ， 发 现 对 内 存 的 不 正常 使 用 ， 在 问题 出 现 前 发 现 征兆 ， 在 系统 崩溃 前 发 现 内 存 泄露 
错误 。 
2. 黑 盒 测试 
黑 盒 测试 ， 也 称 为 功能 测试 、 数 据 驱 动 测试 或 者 基于 规格 说 明 书 的 测试 。 黑 盒 测 试 是 在 
已 知 软件 产品 应 具有 的 功能 条 件 下 ， 在 完全 不 考虑 被 测 程序 内 部 结构 和 内 部 特性 的 情况 下 ， 通 
过 测试 来 检测 每 个 功能 是 否 都 按照 需求 规格 说 明 的 规定 正常 运行 。 

在 进行 黑 盒 测试 时 ， 测 试 者 常常 把 被 测 产品 看 作 一 个 不 能 够 被 打开 的 黑 盒子 ， 在 无 须 了 
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解 软件 内 部 的 结构 和 具体 实现 的 情况 下 ， 测 试 者 对 程序 的 功能 进行 测试 。 

黑 盒 测试 主要 用 于 软件 的 确认 测试 。 常 用 的 黑 盒 测 试 工具 包括 : 功能 测试 工具 ， 用 于 
检测 被 测 程序 能 否 达 到 预期 的 功能 要 求 及 正常 运行 ，@ 性 能 测试 工具 ， 用 于 确定 软件 和 系统 性 
能 。 性 能 测试 又 分 为 客户 端的 测试 和 服务 器 端的 测试 。 客 户 端的 测试 主要 关注 应 用 的 业务 逻 
辑 、 用 户 界面 和 功能 测试 等 ， 服 务 器 端的 测试 主要 关注 服务 器 的 性 能 ， 衡 量 系统 的 啊 应 时 间 
和 事务 处 理 速度 等 需求 。 

























































































82 云 测试 


要 想 使 用 户 放 心地 将 自己 的 数据 交付 于 云 服 务 提 供 商 管理 ， 首 先 需 要 解决 云 计 算 平台 所 
存在 的 各 种 问题 。 测 试 就 是 一 种 非常 有 效 的 保证 手段 。 云 测试 是 云 计算 的 重要 组 成 部 分 ， 是 信 
县 技术 发 展 的 新 方向 。 


8.2.1 ” 云 测试 的 概念 和 类 别 

由 于 云 测试 是 一 个 刚刚 兴起 的 云 计算 研究 领域 ， 关 于 什么 是 云 测试 ， 目 前 还 没有 公认 的 统一 
定义 。 比 如 参考 文献 [2] 给 出 的 定义 是 “ 云 测试 是 一 种 利用 云 环境 模拟 实际 用 户 使 用 负载 ， 以 对 
Web 应 用 进行 负载 和 压力 测试 的 软件 测试 ” 参考 文献 3] 认 为 “ 云 测试 是 一 种 有 效 利用 云 计算 环 
境 资 源 对 于 其 他 软件 进行 的 测试 或 是 一 种 针对 部 署 在 云 中 的 软件 所 进行 的 测试 ” 

依照 软件 测试 的 基本 含义 来 讲 ， 普 裔 认为 云 测 试 是 由 测试 和 云 两 者 构成 。 首 先 它 应 该 是 
一 种 软件 测试 ， 有 自己 的 测试 手段 和 测试 方法 。 其 次 ， 它 工作 于 云端 ， 通 过 云 来 实现 其 测试 方 
法 和 测试 过 程 。 即 云 测试 是 一 种 通过 云 环 境 实 施 软件 测试 的 过 程 。 

依据 测试 对 象 和 测试 策略 不 同 ， 可 以 将 云 测试 划分 为 如 下 三 个 大 的 类 别 中 

1. 基于 云 的 在 线 应 用 测试 (Online-based Application Testing on a Cloud) 

这 种 类 型 的 测试 主要 是 利用 云 服 务 提供 商 所 提供 的 云 资源 对 可 以 部 署 在 云 平 台 上 的 应 用 
软件 进行 测试 。 用 户 只 需 连 接 互联 网 来 访问 云 测试 服务 ， 就 可 以 对 应 用 软件 进行 高 效 、 便 捷 的 
测试 ， 而 不 需 关 心 测试 工具 、 环 境 和 资源 的 使 用 情况 ， 云 测试 平台 负责 对 相关 的 资源 进行 调 
度 、 优 化 和 建 模 等 方面 问题 。 
目前 ， 在 云 环 境 中 测试 的 研究 主要 集中 在 云 资源 的 调度 和 优化 上 。 工 业界 已 推出 很 多 云 
测试 的 工具 。 比 如 ，PushToTest 推出 的 云 测试 的 工具 TestMakerD5I 可 以 支持 本 地 和 云端 或 者 两 
者 丝 可 的 测试 方式 。IBM 公司 的 Smart Business Test Cloud 可 以 向 用 户 提 供 动态 、 可 靠 和 按 需 
分 配 的 虚拟 测试 服务 器 资源 四。 

2. 面向 云 的 测试 (Cloud-oriented Testing) 

这 种 类 型 的 测试 是 针对 云 平台 自身 的 架构 、 环 境 、 功 能 、 性 能 及 系统 等 方面 的 测试 问 
题 ， 使 云 计 算 自身 符合 各 项 云 技术 指标 要 求 ， 满 足 各 项 性 能 规定 。 

测试 活动 通常 是 在 云 内 部 ， 通 过 云 服务 供应 商 的 工程 师 执 行 。 主 要 目的 是 保证 所 提供 的 
云 服 务 的 质量 。 实 现 云 服务 的 具体 功能 性 方法 必须 经 过 单元 测试 、 集 成 、 系 统 功能 验证 和 回归 
测试 ， 以 及 性 能 和 可 扩展 性 的 评价 。 此 外 ， 还 要 测试 面向 客户 的 API 和 安全 服务 等 。 其 中 ， 
性 能 测试 和 扩展 性 评价 非常 重要 ， 因 为 它们 是 确保 云 弹性 服务 的 基础 。 
目前 ， 针 对 云 服 务 环 境 的 测试 主要 集中 在 laas 和 Paas 服务 架构 上 ， 对 Saas 层 的 研究 较 
少 。 由 于 Ias 的 性 能 直接 关系 到 云 服务 上 层 的 服务 的 可 靠 性 ， 所 以 针对 IaaS 层 的 云 测试 研究 
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侧重 于 IaaS 的 性 能 问题 。 比 如 通过 测试 ， 可 以 分 析 Hadoop 的 执行 效率 及 执行 失效 问题 等 。 在 
Paas 层面 主要 关注 Paas 层 上 开发 程序 的 测试 ， 缺 乏 Paas 自身 测试 机 制 。 在 SaaS 层次 上 的 研 
究 较 少 ， 相 关 理 论 研究 并 不 深入 。 目 前 的 主要 工作 是 借助 于 云 平 台 获得 软件 测试 服务 。 比 如 ， 
参考 文献 [7] 提 出 一 种 Taas 的 单元 测试 模型 。 把 单元 测试 作为 一 种 服务 提供 给 开发 人 员 ， 使 开 
发 人 员 不 需要 编写 大 量 的 测试 用 例 ， 就 可 以 获得 测试 结果 ， 这 大 大 减轻 了 开发 人 员 的 负担 。 

3. 基于 云 的 云 应 用 测试 (Cloud-based Application Testing over Clouds) 

这 种 类 型 的 测试 是 指 为 保证 能 够 运行 于 不 同 云 环境 的 云 的 应 用 程序 的 质量 而 进行 的 测 
试 。 当 开发 部 署 云 应 用 程序 时 ， 在 不 同 云 环境 下 进行 测试 是 必要 的 ， 以 确保 它 的 质量 。 

与 前 两 种 类 型 不 同 ， 此 类 型 的 测试 目标 是 保证 运行 于 云 上 的 端 到 端 应 用 的 质量 。 需 要 在 
不 同 云 技术 环境 下 ， 开 展 系统 级 集成 、 功 能 验证 、 性 能 评估 和 可 伸缩 性 等 方面 的 测试 任务 ， 验 
证 在 不 同 环境 下 的 系统 兼容 性 、 互 操作 性 和 连通 性 。 

4. 测试 环境 

与 上 述 三 种 云 测试 类 别 对 应 的 测试 环境 如 图 8-1 所 示 。 

基于 云 的 企业 测试 环境 是 指 云 服务 提供 商 在 云 中 部 署 一 个 基于 Web 的 应 用 程序 ， 以 验证 
其 在 云 框架 中 的 软件 质量 。 在 私有 /公有 云 测 试 环境 中 ， 服 务 提供 商 在 私有 或 公有 云 中 部 署 
SaaS 应 用 ， 以 验证 其 质量 。 混 合 云 测试 环境 中 ， 服 务 提供 商 在 混合 云 基础 设施 上 部 署 基 于 云 
的 应 用 程序 来 检查 其 质量 。 
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图 8-1 测试 环境 





a) 基于 云 的 企业 测试 环境 b) 私有 /公有 云 测试 环境 c) 混合 云 测试 环境 
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5. 测试 内 容 
表 8-1 列 出 了 上 述 三 种 类 型 云 测试 的 具体 任务 。 
表 8-1 三 种 类 型 云 测试 的 具体 任务 
测 试 类 别 面向 云 的 测试 基于 云 的 在 线 应 用 测试 基于 云 的 云 应 用 测试 

























































































































































































































































































































































































TEN 在 去 内 部 测试 面向 去 的 服务 | 基于 云 下 测试 在 线 应 用 的 服 | ATARA EEA 
服务 功 能 测 试 2u 26 26 
功能 务 功能 功能 
men 私 和 公有 有 云 册 部 竺 定 供应 两 的 | ”在线 客 户 员 和 后 员 服务 吉之 间 |  GEEDRRUUAUA. SANAA 
pu 组 件 和 服务 整合 的 集成 集成 
API 和 连通 性 | 。 云 API 和 连通 性 测试 UDAROM APIA | 。 测试 应 用 程序 服务 APL 和 连通 性 
测试 连通 性 测试 
入 能 和 可 扩展 性 | ASAE SLA 的 云 的 性 能 和 可 | WIN EUNJUTEERGUPUE | ETAGE SLA EAA 
测试 扩展 性 测试 性 测试 性 能 和 可 伸缩 性 测试 
安全 性 测试 云 安全 功能 和 用 户 隐私 面向 用 户 的 安全 和 隐私 系统 级 的 端 到 端 安全 
人 测试 以 用 户 为 中 心 玖 互 操作 
tfe PONI llb s te ze 性 协议 、 : . i ! 
a ERA ae n DUMP | M. rug SAM MI AEE, aspi 
dit. AP HR 
mm 面向 云 的 回归 测试 用 户 为 中 心 的 验证 详 到 并 应 用 系统 回归 测试 


















































8.2.2. 云 测 试 的 特点 

云 测 试 服务 商 给 企业 提供 超大 规模 的 测试 资源 、 动 态 分 配 和 在 线 文 持 ， 以 提高 测试 效 
率 ， 并 且 为 测试 人 员 提供 各 种 系统 平台 环境 。 然 而 ， 由 于 云 计 算 环 境 具 有 异 构 、 分 布 、 动 态 以 
及 对 用 户 透明 等 特性 ， 测 试 者 通常 无 法 获知 云 内 部 的 特性 。 所 以 ， 与 传统 的 软件 测试 相 比 ， 云 
测试 有 自己 独特 的 一 些 特 点 ， 主 要 表现 在 以 下 几 个 方面 B] 

(1) 测试 成 本 低 ” 随 着 应 用 需求 的 变化 ， 需 要 不 断 地 更 新 软件 测试 的 方案 ， 相 应 地 需要 
不 断 部 署 新 的 设备 ”显然 ， 云 测试 可 以 充分 利用 云端 的 资源 部 署 和 配置 测试 环境 ， 用 户 无 须 购 
买 测 试 工 具 或 设备 ， 只 需 文 付 低廉 租赁 费用 ， 降 低 企 业 成 本 。 

(2) 测试 场景 允 真 ”由 于 测试 发 生 在 云端 ， 因 此 ， 云 测试 能 够 更 加 真实 地 模拟 出 分 布 式 
环境 下 的 虚拟 用 户 环境 ， 包 括 地 理 位 置 、 浏 览 器 和 网 络 宽带 等 ， 同 时 使 得 测试 用 例 更 加 丰富 。 

G) 测试 环境 按 需 提供 ”由 于 云 服 务 是 一 种 按 需 提供 服务 的 运营 模式 ， 因 此 ， 在 进行 云 
测试 时 ， 用 户 可 以 按 需 地 部 署 测试 资源 和 环境 。 

(4) 适用 尽早 测试 原则 ”应 用 云 测试 ， 通 过 云 平台 能 够 更 快速 地 完成 测试 ， 因 此 ， 软 件 



































































































































































































































































































































应 遵循 尽早 测试 原则 ， 这 不 仅 能 够 降低 风险 ， 同 时 也 不 会 影响 软件 开发 效率 。 





























(5) 测试 周期 短 ” 当 测试 用 例 非常 庞大 或 者 反复 运行 测试 时 ， 工 作 量 就 会 显得 非常 巨 
大 。 由 于 云 测 试 具有 并 发 性 ， 因 此 ， 利 用 云 测试 可 以 大 大 减少 测试 的 时 间 。 

(6) 规范 标准 ” 云 测 试 提供 了 一 种 不 同 应 用 系统 测试 的 共同 解决 方案 ， 可 以 预先 定义 多 
中 测试 所 需 环境 的 标准 镜像 文件 。 在 某 种 意义 上 来 说 ， 这 必然 会 促进 不 同 应 用 系统 之 间 标 准 的 
统一 化 ， 从 而 加 速 云 技术 的 发 展 。 


8.2.3” 云 测试 面临 的 挑战 


虽然 云 测试 具有 诸多 优势 ， 但 是 云 测试 也 面临 一 些 挑战 操 。 
(1) 安全 性 问题 ”安全 性 一 直 都 是 云 服务 最 为 关心 的 一 个 问题 ， 但 是 目前 关于 云 测试 的 
研究 很 少 考虑 到 安全 性 的 问题 。 用 户 的 隐私 和 敏感 数据 得 不 到 充分 的 保护 ， 会 大 大 降低 人 们 使 
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] 云 测试 的 信心 。 而 在 云 计算 中 存在 着 多 级 服务 委托 关系 ， 所 用 的 测试 方法 会 比较 复杂 ， 这 也 


会 造成 安全 性 问题 ， 使 得 最 终 的 测试 结果 不 可 靠 ， 使 人 们 丧 失 对 云 测试 服务 的 信心 。 
(2) 多 用 户 租赁 ”SaaS 上 的 云 应 用 是 在 多 用 户 租赁 环境 下 的 应 用 系统 。 多 个 租户 共享 同 















































一 个 实例 化 的 应 用 实体 及 数据 来 达到 个 性 需求 的 目的 ， 这 就 要 求 用 户 能 够 正确 完成 自身 的 操作 
功能 ， 而 彼此 间 的 并 发 操作 不 会 产生 相互 影响 ， 这 对 测试 而 言 是 一 项 极 大 挑战 。 
































G) 并 发 问题 ” 云 服 务 可 以 迅捷 地 提供 测试 其 他 软件 所 需 的 资源 和 环境 ， 但 并 不 是 所 有 


























的 测试 过 程 和 场景 都 适合 云 测试 框架 ， 需 要 考虑 系统 间 和 测试 用 





刚 间 相互 的 依赖 关系 。 











(4) 虚拟 化 问题 ”虚拟 化 技术 提高 了 资源 利用 效率 ， 然 而 并 不 是 所 有 的 测试 方法 都 支持 





虚拟 化 技术 。 同 时 ， 在 一 台 机 器 上 产生 的 多 个 虚拟 设备 存在 资源 
可 能 会 与 实际 情况 有 一 定 的 偏差 。 
(5) 研究 结论 不 通用 ”在 不 同 平 台 的 测试 环境 中 ， 所 测试 







































































的 竞争 机 制 ， 这 样 测试 的 结果 














4 结果 和 平台 以 及 语言 有 密切 























的 相关 性 。 目 前 ， 测 试 大 都 没有 考虑 平台 不 同 的 问题 ， 这 使 得 测试 结论 没有 通用 性 。 
(6) 迁移 测试 方法 有 局 限 ”迁移 传统 的 软件 测试 到 云 计算 环境 中 ， 这 样 可 以 有 效 地 降低 



























































软 硬 件 购 置 成 本 ， 为 企业 和 组 织 发 展 提供 有 力 的 支持 。 然 而 并 非 所 有 软件 的 测试 都 适合 迁移 到 


















































云 环 境 下 进行 ， 软 件 测试 迁移 时 需要 考虑 迁移 所 带 来 的 风险 与 收益 。 因 为 迁移 应 用 程序 到 云 ， 
可 能 会 导致 原 有 应 用 系统 重 构 ， 必 人 然 也 会 带 来 测试 方案 的 改变 ， 而 迁移 测试 方法 到 云 中 ， 由 于 
































云 的 特性 ， 也 会 改变 原 有 的 测试 方式 。 
































目前 ， 这 方面 的 研究 主要 是 结合 云 环境 的 测试 ， 提 高 一 些 传统 测试 的 效率 ， 如 回归 测试 























等 。 因 此 ， 展 开 一 系列 相关 研究 工作 具有 非常 重要 的 意义 。 比 如 

















的 特征 和 所 执行 的 测试 类 型 两 个 方面 分 析 了 测试 何 时 适合 迁移 到 云 环境 下 进行 ， 并 给 出 若干 影 




















，Parveen 等 人 从 被 测试 程序 























响 因素 所 ，@ 测 试用 例 是 否 相互 独立 ;@ 自 我 包容 且 易 识别 的 测试 环境 ，@@ 可 编程 接口 。 上 述 

















三 个 特征 分 别 对 应 测试 用 例 的 并 行 执行 、 测 试 所 需 的 软 硬 件 环境 以 及 测试 的 自动 化 控制 。 





8.2.4” 云 测试 的 研究 进展 











获得 了 相当 高 的 重视 站。 





云 测试 是 在 云 计 算 研 究 中 迅速 崛起 的 一 个 领域 ， 近 年 来 已 经 
著名 的 软件 测试 国际 会 议 ICST Cnternational Conference on 























Software Testing) 将 云 计 算 的 


测试 列 为 焦点 问题 ， 并 在 2009 年 和 2010 年 举办 两 次 针对 云 测试 的 专题 讨论 会 STITC 
(Software Testing in the Cloud)， 专 门 探讨 和 研究 云 计算 测试 相关 的 问题 。 





























自 此 ， 许 多 企业 组 织 、 研 究 团体 及 标准 化 组 织 都 局 动 了 相关 研究 ， 很 多 软件 商 也 纷纷 推 
出 各 类 云 计 算 的 测试 产品 。 学 术 界 也 提出 各 自 的 理论 方法 和 技术 成 果 。 
对 不 同类 型 的 计算 机 系统 和 软件 应 用 所 需要 的 测试 方法 和 技术 不 尽 相 同 ， 云 测试 也 是 



















































































如 此 。 到 目前 为 止 ， 在 云 测试 的 不 同 领域 都 已 有 研究 成 果 ， 包 括 安全 测试 [5、 自 主 自我 测 
试 趾 、 存 在 服务 测试 中 、 云 计算 基础 架构 互 操作 测试 中 、 云 存储 系统 测试 和 面向 移动 应 























1 的 云 测 试 [9 等 。 









































前 主流 的 工具 如 下 : 



































市 场 上 ， 各 类 云 计 算 的 测试 工具 或 产品 已 经 很 多 ， 如 关于 网 站 应 用 程序 性 能 测试 ， 目 








1) SOASTA 是 一 个 总 部 位 于 加 州 的 专门 从 事 云 测试 的 科技 公司 。CloudTest 是 SOASTA 











所 提供 的 云端 测试 服务 工具 。CloudTest 通过 EC2 的 云端 基础 设施 服务 模拟 成 千 上 万 个 使 用 





























mi 


者 ， 对 网 站 或 Web 应 用 程序 发 出 请 求 ， 以 测试 网 站 或 Web 应 用 程序 的 性 能 。CloudTest 能 及 时 
将 测试 结果 如 响应 时 间 、 模 拟 的 使 用 者 量 等 数据 以 可 视 化 的 图 表 形 式 展现 给 测试 者 。 通 过 
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CloudTest, H 





这 为 中 小 型 IT 企业 提供 了 很 大 的 便利 。 

















昌 户 可 以 在 任何 时 间 、 任 何 地 点 ， 通 过 计算 机 的 浏览 器 和 互联 网 开展 测试 工作 ， 











百 万 个 虚拟 





































































































! 于 中 小 型 企业 在 软件 测试 过 程 中 可 能 需要 模拟 出 上 





























i1, LoadStorm 所 使 
程序 的 URL 给 LoadStorm, LoadStorm 即 会 仿真 用 户 对 测试 象 


户 来 进行 性 能 和 压力 测试 ， 然 而 他 们 的 硬件 难以 提供 如 此 大 规模 的 计算 能 力 。 此 
时 ， 为 了 获得 强大 的 运算 能 力 只 需要 租用 云 测试 服务 进行 测试 即 可 。 

2) LoadStorm 是 一 套 云 端 负载 测试 工 
EC2， 用 户 提供 网 站 或 网 络 应 有 




















] 的 云端 基础 设施 服务 为 

















进行 开启 页 面 或 单 击 连接 操作 。 在 LoadStorm 的 官方 文件 提 到 主要 的 测试 报表 内 容 有 平均 响应 











时 间 、 错 误 率 、 每 秒 请 求 数 、 每 秒 否 中 

3) Load Impact 是 一 家 位 
云端 网 站 压力 测试 服务 ， 
的 最 大 负载 。Load Impact 类 似 于 LoadStorm， 测 试 者 提供 
Impact, Load Impact 即 对 测试 对 象 发 出 HTTP 请 求 并 测量 响应 时 间 。 
的 API 编写 测试 脚本 ， 并 设 定 模拟 的 使 月 
侈 以 及 发 出 HTTP SK É 


Load Impact 








试 案例 所 占 的 比 











提供 






































上 量 、 峰 值 响应 时 间 和 同时 发 出 请 求 的 使 用 者 数量 。 
瑞典 的 Gatorhole AB 公司 所 开发 的 一 个 使 用 EC2 
通过 模拟 不 同 的 在 线 人 数 所 得 到 的 网 站 响应 时 间 ， 来 计 





服务 的 
出 网 站 



































网 站 应 





程序 的 URL 给 Load 
































日 者 数量 、 
的 主机 所 在 地 ， 用 来 模拟 同一 时 间 点 、 不 同 地 点 与 





测试 者 还 可 以 通过 
测试 运行 时 间 、 该 测 














不 同 使 用 者 的 行为 。 目 前 免费 版 本 仅 提供 模拟 最 多 50 个 同时 在 线 的 使 用 者 。 

















决 大 规模 测试 环境 构建 困难 的 问题 ， 准 Wt 
献 [17] 提 出 一 个 基于 云 的 3 














测试 ! 





能 ，D-Cloud XH 














在 学 术 界 ， 各 和 
m», pg EX 








内 存 和 CPU 资源 不 足 、 








技术 和 解决 方案 也 不 册 














E 云 测试 所 需 资 源 的 分 本 






































行 符号 测试 
法 应 


























擎 Cloud9， 利 月 





























F 发 方面 已 经 取得 

















8.2.5 ”传统 软件 与 云 服务 测试 的 异同 


传统 软件 与 云端 服务 测试 不 同 之 处 在 了 


务 安 全 性 担心 的 问题 ， 





























如 同 云端 服务 软件 与 一 般 传统 软件 在 天 
也 不 同 于 一 般 传统 软件 测试 。 传 统 软件 与 云端 服务 在 测试 | 

















有 涌现 。 比 如 参考 文献 [7] 提 出 一 种 TaaS 的 模 
已 和 调度 算法 ， 作 者 还 评估 了 该 云 服务 测试 模 
型 的 有 效 性 。 参 考 文献 [16] 利 用 云 计 算 服 务 资源 构建 网 络 管理 








作为 云 管理 软件 。 
和 配置。 为 了 测试 系统 的 容错 功 


系统 的 测试 环境 ， 有 效 地 解 


地 测试 了 大 规模 网 络 管理 系统 的 性 能 。 参 考 文 
昌 云 计算 的 资源 解决 了 以 往 符号 
于 大 型 软件 系统 测试 的 缺陷 。Cloud9 可 以 运行 
EC2 环境 。 参 考 文献 [18] 提 出 一 个 称 为 D-Cloud 的 云 计 算 测试 环境 。 
拟 机 节点 ，QEMU 作为 虚拟 化 软件 ， 以 及 将 Eucalyptus 
云 计算 资源 来 运行 一 个 分 布 式 软件 ， 虚 拟 机 允许 进行 各 利 
日 故障 注入 方法 作为 测试 场景 的 一 部 分 。 
目前 ， 尽 管 在 云 测试 的 理论 和 工具 
有 解决， 在 未 来 儿 年 内 ， 这 个 有 前 途 的 领域 将 会 越 来 越 受到 关注 。 











于 
D-Cloud 使 用 多 个 虚 
D-Cloud 使 用 


















































一 定 成 果 。 但 是 ， 还 有 很 多 问题 没 





为 解决 云端 服务 质量 问题 而 造成 用 户 对 于 云端 服 














表 8-2 统 软 件 测试 与 云端 测试 差异 


Ff 发 过 程 不 同 ， 云 端 服务 软件 测试 
上- 的 差异 见 表 8-2 091. 




















































































































项 传统 软件 测试 基于 云端 软件 测试 
测试 目标 确保 系统 功能 和 约定 的 性 能 质量 ， 检 查 可 保证 云端 服务 性 能 和 功能 的 质量 ;基于 SLA， 保 证 云端 服 
性 、 兼 容 性 和 互 操 行 务 的 立 性 和 可 扩展 性 E e 
测试 即 服务 内 部 软件 测试 a CN 试 服务 ， 依 据 预 先 定义 的 SLA 进 
n esu 在 本 地 测试 区 中 进行 离线 测试 - | umm 公有 云 上 执行 在 线 测试 ， 在 私有 
测试 环境 在 测试 区 配置 专属 测试 环境 a a dd 专 有 私有 云 测 试 
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GE) 































































































































































































































































































项 传统 软件 测试 基于 云端 软件 测试 
wu | 下 大 硕果 WIGITHPTH | 去 二 测试 服 务 和 用 费用 ， 云 端 计 算 的 技术 人 力 成 本 
TPA 线 3 访问 云端 方 真 虚 y 线 云端 服务 
测试 模拟 模拟 在 线 使 用 者 ， 模 拟 在 线 流量 qo ENERO emos 
流量 数据 
功能 测试 验证 组 件 和 系统 功能 云 服务 功能 、 端 到 端 应 用 功能 
mee ETATER, TAER | APET Saas AA, A] Saas E TERIS 
A 试 ， 基 于 体系 结构 的 集成 测试 的 端 到 端 集成 测试 ， 云 间 而 向 企业 的 应 用 集成 测试 
基于 功能 的 安全 特性 ， 用 户 隐私 ;进程 访问 | a Aae, um Ap YZMXGUnAML, MER 
安全 测试 。 | 的 安全 性 ;客户 端 /服务 器 访问 安全 测试 ， 数 | QC REREN RUE. zum AP 和 连通 性 安全 性 ， 喘 8 
A 端 应 用 安全 ;用 户 隐私 
据 与 信息 完整 性 
可 打 展 性 和 性 |， 在线 监控 和 评价 ”模拟 用 方 访问 、 消 息 和 测 | ”基于 SLA ETT — HIP FEBTRFGUTAS IIRIHERURISEIN 
能 测试 。 | 试 数据 进行 测试 ， 运 行 一 个 周 定 的 测试 环境 | 在 线 数据 进行 测试 ， 在 线 监 控 、 验 证 和 度量 
























































83 ”常用 的 云 测试 方法 


的 测试 主要 包括 性 能 测试 、 安 全 性 测试 、 功 能 测试 和 会 话 动 持 测 试 





在 云 平台 上 进行 

















prix 

d 

等 工作 。 

8.3.1 性 能 测试 

















云 计 算 性 能 测试 的 目标 是 验证 在 各 种 负载 情况 下 云 服务 的 性 能 。 











的 并 发 请 求 数目 来 ! 


监视 服务 器 的 响应 时 间 ， 还 要 测 






































所 以 ， 云 服务 性 能 测试 工具 应 该 能 够 设置 或 者 定制 性 能 测试 场景 。 








下 面 主 要 就 计算 、 
1. 计算 能 








对 于 计算 能 力 ， 可 以 通过 以 下 指标 i 
(D 加 速 比 ” 在 分 布 式 环境 下 ， 通 过 执行 负载 测试 、 压 力 测试 、 稳 定 怕 
测试 等 方法 。 加 速 比 直接 反映 了 同一 个 任务 在 分 布 式 环境 中 运行 消耗 的 时 间 的 比率 。 




















un 



































进行 评测 : 





























EREA 


(2) 指令 效率 d 





























(3) 平均 的 并 发 用 户 数 量 
(4) 集群 负载 相对 差 























AZ 日 














2， 存 储 能 力 


存储 能 力 问题 是 计算 机 系统 的 一 个 传统 问题 ， 


能 否 成 功 ， 很 大 程度 














小/ 


使 用 率 和 节点 上 被 分 配 的 任务 数 。 


























上 取决 于 存储 服务 提供 的 性 能 忆 。 








与 存储 能 力 相关 
(OD 内 存 带 宽 








的 度量 指标 主要 如 下 : 

















存 带宽 即 低 延 时 可 保 

















宽带 进行 测试 。 





(Q0 平均 读 写 时 | 
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司 ” 对 不 同 大 小 数据 包 读 写 ， 测 试 访问 次 数 及 访 


在 分 布 式 环境 下 ， 测 试 某 一 云 服务 的 并 发 月 
压力 测试 工具 对 云 计算 系统 增加 负载 ， 测 试 每 个 节点 的 CPU 





测试 过 程 包括 测 试用 例 的 设计 、 测 试问 题 的 提交 、 测 试 计划 、 测 试 报告 以 及 测试 管理 




















进行 性 能 测试 的 最 佳 方 


通信 和 存储 三 个 方面 的 性 能 测试 进行 简单 论述 。 














测试 和 大 数据 量 


HP IEE o 


构建 于 云 存储 平台 的 各 类 应 月 


法 是 多 个 测试 用 户 运 行 完 整 的 云 服务 测试 ， 包 括 请 求 提交 和 应 答 验 证 。 性 能 测试 不 仅 通 过 指定 
试 各 类 负载 是 否 导致 去 服务 的 功能 性 障碍 。 








iul 


E 分 布 式 环境 下 ， 通 过 执行 负载 测试 、 压 力 测试 、 稳 定性 测试 和 大 数据 
。 指 令 效 率直 接 反 映 了 所 测试 集群 系统 的 分 布 式 计算 能 力 的 高 低 。 

















日 和 网 络 存储 








问 时 间 。 


通过 运算 简单 向 量 ， 对 存储 器 速度 进行 测试 ， 主 要 针对 存储 器 的 实际 内 














(3) 接口 访问 速率 ”首先 设置 一 个 总 控 节 点 ， 其 余 节 点 为 负载 生成 节点 。 用 总 探 节点 对 
负载 生成 节点 配置 ， 并 对 负载 生成 节点 进行 远程 调用 启动 测试 ， 然 后 总 控 节点 向 每 个 负载 节点 






































发 送 一 定 大 小 的 IO 负载 ， 不 同 节 点 间 多 个 进程 并 发 协同 工作 ， 





试 数据 。 
(4) 元 数据 吞吐 率 ”首先 设置 一 个 管理 节点 和 一 个 客 

































































器 ， 使 每 个 客户 测试 进程 完成 不 同 数量 文件 的 创建 和 删除 ， 观 察 系统 执行 情况 。 


























FUB TEN 























测试 中 需要 统计 实时 接收 的 测 











点 读 入 全 局 配置 文 
件 和 测试 参数 配置 文件 ， 把 任务 分 给 客户 节点 ， 然 后 将 文件 系统 配置 成 单 核 多 个 元 数据 服务 






































(5) 存储 利用 率 ”在 具有 分 布 式 存储 功能 的 云 计算 平台 系统 上 ， 向 集群 上 传 和 删除 大 小 








不 同 的 文件 ， 观 察 集群 节点 的 存储 空间 利用 情况 。 
3. 通信 能 
通信 测试 一 般 采 用 网 络 性 能 测试 方法 ， 通 过 主动 测试 、 
进行 测试 。 
(1) 主动 测试 ”在 测量 节点 上 使 用 测试 工具 有 目的 性 



























































被 动 测试 和 主 被 动 相 结合 的 方式 





地 主动 产生 注入 网 络 的 测试 流量 ， 



























































量 系 统 ， 其 中 包括 测量 节点 、 中 心服 务 器 、 中 心 数 据 库 和 分 析 服 务 器 等 。 



































量 包 大 小 和 类 型 、 发 包 频 率 、 抽 样 方法 等 来 控制 流量 特征 。 
(2) 被 动 测试 ”在 链 路 等 设备 上 对 网 络 状态 进行 检测 ， 
































务 器 、 中 心 数 据 库 和 分 析 服 务 器 可 能 在 一 台 物 理 主机 中 。 测 量 中 要 能 够 明 丰 
































并 根据 实际 数据 流传 送 情况 和 测量 值 分 析 网 络 性 能 。 测 试 时 需要 建立 一 个 面向 云 计 算 的 网 络 测 





实际 测试 中 ， 中 心服 








控制 流量 大 小 、 测 

















通过 周期 性 查询 检测 设备 数据 信息 


来 判断 网 络 性 能 状态 。 被 动 测试 不 需要 产生 额外 流量 ， 但 是 被 动 测试 需要 对 每 个 设备 进行 检测 ， 























比较 难 掌握 网 络 全 局 点 到 点 的 性 能 ， 并 且 实时 采集 数据 量 过 大 时 容易 造成 安全 ; 














漏 和 丢失 。 















































uu 























更 容易 得 到 相应 的 测量 参数 。 


8.8.0 ”渗透 测试 
1. 渗透 测试 概述 


渗透 测试 是 一 种 传统 的 软件 安全 性 测试 方法 ， 最 早 由 R. R. Linde 于 

















性 问题 ， 如 数据 遗 


(3) 混合 测试 ”因为 主动 测试 适用 于 测试 端 到 端的 延 时 和 丢 包 等 情况 ， 被 动 测试 适用 于 
则 量 路 径 吞 吐 量 等 流量 参数 。 对 于 通信 能 力 的 测试 ， 适 合 选用 主动 与 被 动 相 结合 的 方式 ， 这 样 





1975 年 提出 ， 并 被 用 








于 操作 系统 的 安全 性 测试 中 。 它 通过 注入 安全 风险 来 确定 系统 在 攻击 
透 测试 也 是 受信 任 的 第 三 方 进行 的 一 种 评估 网 络 安 全 的 活动 。 







































































:的 可 能 行为 。 同 时 ， 渗 








渗透 测试 并 没有 一 个 严格 的 定义 ， 通 用 说 法 是 : 渗透 测试 是 通过 模拟 恶意 黑客 的 攻击 方 




















法 ， 来 评估 计算 机 网 络 系统 安全 的 一 种 评估 方法 。 这 个 过 程 包 提 

















或 漏洞 的 主动 分 析 。 












































通常 的 黑客 攻击 包括 预 攻 击 、 攻 击 和 后 攻击 三 个 阶段 。 














对 系统 的 任 人 


预 攻击 阶段 主 





要 指 一 些 信息 收集 


可 弱点 、 技 术 缺 陷 





和 漏洞 扫描 的 过 程 ， 攻 击 阶段 主要 是 利用 第 一 阶段 发 现 的 漏洞 或 弱 口 令 等 脆弱 性 进行 入 侵 ; E 
攻击 阶段 是 指 在 获得 攻击 目标 的 一 定 权限 后 ， 对 权限 的 提升 、 后 门 安装 和 痕迹 清除 等 后 续 
作 。 与 黑客 攻击 相 比 ， 渗 透 测试 仅仅 进行 预 攻 击 阶 段 的 工作 ， 并 不 对 系统 本 身 造成 危害 ， 






























































仅 通 过 一 些 信 息 ea 口令 和 























zu 

















执行 渗透 测试 通常 需要 一 些 专业 工具 进行 信息 收集 。 





局 洞 等 脆弱 性 信息 。 


渗透 测试 工 











RA 


F 类 繁多 ， 涉 及 广 
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泛 ， 按 照 功能 和 攻击 
(1) 网 络 扫 














目标 分 为 网 络 扫描 、 





通用 漏洞 检测 和 应 用 漏洞 检测 三 类 。 
































I 
出 

















DE 











口 扫描 软 伯 





Q2) Ñ 
38 FJ 
(3) 应 月 
见 的 漏洞 包括 SQL 六 
洞 的 形成 原 





4. 











口 等 基本 信 ， 





网 络 扫 
筷 ， 为 后 续 的 扫描 工作 
ping. telnet 和 nslookup 等 可 以 对 日 标的 信息 进行 判断 。 但 是 利用 专 






































是 渗透 测试 的 第 一 步 ， 其 目的 在 于 发 现 目标 的 操作 系统 类 型 和 


D 其 
故 基础 。 事 实 上 ， 利 用 操作 系统 本 身 的 一 些 命令 如 


=N 


上 的 工具 ， 如 网 络 连接 端 

























































































Jy 

















IS 

















个 恶意 字符 串 而 达到 








NMap， 可 以 给 出 更 加 全 面 和 准确 的 判断 。 
局 洞 检测 
局 洞 主要 指 操作 系 
漏洞 检测 



































漏洞 扫描 工具 ， 如 NessusPJ， 检 测 目标 系统 所 存在 的 漏洞 和 弱 
统 本 身 或 者 安装 的 应 用 软件 所 存在 的 漏洞 ， 如 缓冲 区 漏洞 。 
络 环境 下 ， 威 胁 最 大 的 应 用 漏洞 形式 就 是 Web 应 用 漏洞 。 常 


基本 攻击 和 编码 漏洞 等 。 从 本 质 上 来 说 ， 应 用 漏 


利 












































在 网 
入、 表单 破解 、 跨 站 





























是 程序 编写 时 没有 对 用 户 的 输入 字符 进行 严格 过 滤 ， 造 成 黑客 可 以 精心 构造 








的 目的 。 

















2. 云 计算 渗透 测试 


云 计算 渗透 测试 是 通过 模拟 一 个 未 知 恶 意 源 发 起 的 攻击 ， 主 动 分 析 云 计算 的 网 络 安全 强 
度 ， 寻 找 由 于 系统 错误 配置 、 软 便 们 








fü. Y 























云 渗透 检测 流程 分 为 准 


段 和 交付 阶段 。 准 备 阶段 确定 测试 的 范围 和 时 间 期 限 等 ; 




















fF， 找到 绕 过 应 用 、 系 统 和 网 络 安全 措施 的 方法 。 
局 洞 识别 和 实施 攻击 四 





























缺陷 或 操作 系统 脆弱 怕 








等 引起 的 潜在 漏洞 ， 模 拟 现实 世界 
该 方法 通常 分 为 信息 收集 、 网 络 扫 


























个 阶段 。 











E 备 阶段 、 测 试 部 署 阶段 、 信 息 收 集 阶 段 、 场 景 构 建 阶段 、 攻 击 阶 





























测试 部 署 阶段 在 云 计算 中 心 部 署 一 个 














渗透 测试 管理 

















信息 


Aix 
NS 
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， 进 行 》 





和 多 个 执行 工具 ; 

















言 息 收集 阶段 运用 Whois 和 Nslookup 等 工具 ， 收 集 目标 


























SIDE 


, 








和 阶段 根据 测试 步骤 进 











阶段 的 信息 进行 分 析 
8.3.3 Jý 
功能 测试 是 为 了 确 





bd 


测试 





场景 构建 根据 分 析 结 果 ， 构 造 测试 步骤 ， 如 测试 图 、 测 试 树 和 测试 序列 
攻击 以 验证 漏洞 是 否 存在 ， 交 付 阶 段 根 据 场景 构建 阶段 和 攻击 


Faa 
Fo 





ETE 


11 
tA HK 


























Las 

















tet 

















保 程 序 以 期 望 的 方式 运行 而 按 功 能 要 求 对 软 伯 





进行 的 测试 ， 通 过 对 





个 系统 的 所 有 

云 测 试 服务 商 预 9 
商 提供 的 各 种 硬 伯 
写 好 脚本 ， 上 传 至 云 服 务 商 提供 的 平台 ， 便 可 以 运行 脚本 进行 测试 ; 
昌 例 并 发 的 运行 在 测试 环境 中 ， 让 测试 人 员 在 短 时 间 内 可 以 收集 到 大 量 的 测试 





SFR, EAH 


日 


信息 
































目前 ， 市 场 上 已 有 很 多 云 测试 服务 3 


特性 和 功 


FE. WA 








能 都 进行 测试 以 确保 其 符合 需求 和 规范 。 
E 构 建 好 大 量 配置 各 异 的 虚拟 测试 环境 ， 使 测试 人 员 借 助 于 云 计算 服务 
F 系 统 和 测试 工具 等 进行 测试 。 测 试 人 员 只 需 制订 好 测试 方案 ， 编 
岂可 以 将 测试 用 例 提交 给 


H 























































































































r1 
HH» 


HH 
A 





台 产 品 ， 如 Testin, SOASTA 和 易 测 云 等 。 它 们 主 


提供 功能 测试 和 性 能 测试 。 
1. Testin 















































Testin 云 测 试 是 首 家 面向 全 球 提供 免费 的 自动 化 云 测试 服务 平台 ， 可 以 实现 自 定义 终 
时 自动 化 兼容 适 配 测试 以 及 功能 、 性 能 、 稳 定性 测试 ， 极 大 减少 了 大 量 重复 和 枯 





端 进行 批 和 





燥 的 人 力 测 试 工作 ， 克 省 测试 终端 





括 
错 原 因 
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: 外 自 定 义 脚 本 测试 ， 上 传 自 定 义 脚本 ， 膨 
， 在 结果 报告 中 呈现 测试 过 程 出 现 的 缺陷， 六 




















的 租用 和 购买 成 本 。 例 如 ，Testin 的 功能 测试 主要 包 
本 中 给 出 测试 方法 ， 自 动 定位 错误 及 反馈 | 
提供 重 现 功 能 ， 利 用 单元 测试 工具 














LT 
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以 快速 定位 代码 错误 ，@ 执 行 结果 评判 ， 比 对 每 个 用 例 的 测试 结果 ， 未 通过 的 用 例 给 出 准 
确 的 日 志 分 析 。 

2. dz 

易 测 云 由 东软 出 品 ， 专 门 为 安 卓 APP mIRE DAMA A oed IR ERE 
试 等 多 种 服务 的 真 机 自动 化 云 测试 服务 产品 。 易 测 云 目前 文 持 Robotium、Athrun 和 Guerrilla 
等 开源 测试 框架 ， 方 便 测 试 人 员 快 速 书写 测试 脚本 。 

易 测 云 支持 手写 脚本 和 录制 脚本 两 种 生成 模式 ， 且 可 支持 脚本 自 定 义 。 用 户 可 根据 实际 

要 对 脚本 进行 编辑 、 20 Re tl o us 测试 的 易 用 性 
mih, en 发 者 和 测试 者 的 实际 需求 。 只 需 将 处 理 完毕 的 脚本 ， 一 键 提交 到 易 测 
云 服务 系统 ， 便 可 以 获得 测试 结果 。 
8.3.4 会话 劫持 测试 

1. 会 话 动 持 测试 概述 

在 通常 情况 下 ， 任 何 涉 及 对 设备 间 会 话 的 攻击 都 称 为 会 话 支持。 其 中 ， 会 话 是 指 存 在 状 
态 的 设备 间 连 接 。 会 话 劫持 是 一 种 结合 嗅 控 和 欺骗 技术 在 内 的 攻击 手段 。 从 广义 上 来 说 ， 会 话 
支持 就 是 在 一 次 正常 的 通信 过 程 中 ， 入 侵 者 从 中 获取 所 需 数据 ， 并 冒充 一 方 主机 ， 欺 骗 男 一 方 
主机 ， 接 管 会 话 ， 作 为 第 三 方 参与 其 中 ， 或 者 是 在 数据 流 里 注入 额外 的 信息 ， 或 者 是 双方 的 通 





信和 模式 被 私下 改变 。 





会 话 劫持 利用 TCP/IP 设计 攻击 。 
目的 TCP 端口 号 ) 每 一 
输 时 ，TCP 报 文 首部 的 两 个 字段 即 序号 和 确认 序号 非常 
少 有 直接 关系 。 序 号 字段 指出 本 报 文中 传送 的 数据 在 发 送 主机 所 要 传送 的 整个 数据 流 中 上 
号 ， 而 确认 序号 字段 指出 发 送 本 报 文 的 主机 希望 接收 方 主机 中 下 
B TCP 报 文 之 间 的 序号 和 确认 序号 的 关系 为 : 
认 序 号 值 ， 而 它 所 要 发 送 报 文中 确认 序号 值 





Hf) IP, JH. 












































台 主 机 来 说 ， 其 收发 的 两 个 相 邻 
文中 的 序号 字段 值 






































应 等 于 它 所 刚 收 到 的 报 文中 的 而 









































TCP 使 用 端 到 端的 连接 ， 即 TCP 用 来 唯 
条 已 经 建立 连接 的 TCP 链 路 。 另 外 ，TCP 在 进行 数据 传 














一 标识 








常 重要。 它们 与 所 携带 















































应 为 它 所 收 到 报 文 中 序号 值 加 上 该 报 文中 所 发送 的 TCP 数据 的 长 度 。 


会 话 劫持 攻击 分 为 中 间 人 攻击 和 注射 式 攻击 两 种 类 型 。 
被 动 劫持 就 是 在 后 台 监 视 双方 
天 当中 的 某 一 台 主 机 “ 踢 ” 下 线 ， 然 后 由 攻击 者 取代 并 接管 会 话 。 
更 难以 抵御 的 攻击 。 





和 主动 支持 两 种 形式 。 
动 持 则 是 将 会 1 


会 话 劫持 是 一 种 难 检测 、 












































式 。 除 非 恶 意 用 户 在 访问 已 劫持 会 话 
AE. 
2. 云 计算 会 话 动 持 测试 














Z U 


会 话 的 数据 流 ， 从 ， 
































WS 





因为 会 


时 执行 某 种 明显 的 操作 ， 否 则 将 永远 无 法 知 ; 





云 平台 有 1/ 





泛 的 网 络 接 入 ， 在 用 户 与 云 数 





据 中 心 建立 连接 时 ，TCP 











HTTP. FTP, Telnet 等 发 起 攻击 。 对 于 攻击 者 来 说 ， 所 需要 做 的 就 是 才 探 到 正在 进行 TCP 38 
心 之 间 传 送 的 报 文 。 只 要 攻击 者 获得 
就 可 以 得 知 其 中 一 
FE， 在 该 合法 用 户主 机 收 到 云 数据 中 心 

















信 的 用 户主 机 与 云 数 据 ， 
号 、 目 的 IP 和 目的 TCP 端 号 ， 
序号 和 确认 序号 的 值 。 这 检 











人 




















击 者 根据 所 截获 的 信息 
以 把 合法 的 TCP Zi 


























向 该 主机 发 出 一 个 TCP 报 文 ， 如 果 云 ! 



































建立 在 攻击 主机 与 被 攻击 主机 之 间 。 


下 一 个 八 位 组 的 顺序 号 。 


EISE 





( 源 、 


带 TCP 数据 量 的 多 





的 顺序 


对 于 一 





EHER H 








的 报 




















也 可 分 为 被 动 支持 
获得 敏感 数据 ， 


主动 














攻击 基本 属于 被 动 攻击 形 























道 账户 已 经 被 


会 话 支持 可 以 对 如 





























该 报 文 的 源 IP. JH TCP 端口 
台 主 机 对 将 要 收 到 的 下 一 个 TCP 报 文中 的 
主机 发 送 的 TCP 报 文 前 ， 攻 
心 主机 先 收 到 攻击 报 文 ， 就 可 





209 








TCP 会 话 支持 攻击 方式 的 特点 在 于 使 攻击 者 避 开 





认证 ， 从 而 











使 ] 


改 击 者 直 











对 于 云 平台 的 会 


行 检测 。 


(1) 账户 


十 




















B, XH 





T 


问 敏感 数据 要 求 一 次 验证 码 验 证 


的 














外 ， 还 要 与 














即 其 HTTP 
象 。 针 对 这 

















HAZ) CRI 








支持 攻击 可 采用 账户 信 


k EZF 





接 进 入 对 被 攻击 主机 的 访问 状态 。 
BAEN RREI A LA 





服务 设计 


被 攻击 主机 对 访问 者 的 身份 验证 和 安全 

















甚至 要 求 重 3 





所 输 











RW ”在 








些 情况 ， 





攻击 生命 
E 常 操作 ， 





户 进 行 脱 网 交互 ， 如 手机 短信 验证 等 。 
(2) 客户 主机 异常 行为 监测 策 


等 请 求 频率 远 远 高 于 ] 


期 内 ， 























8.3.5 业务 逻辑 测试 
业务 逻辑 测试 就 是 指 依据 客户 需求 ， 


编写、 测试 
的 规定 要 求 ， 

对 
his @ 业 务 
对 
] 的 业务 四 




















脚本 开 





规则 执行 


于 云 应 用 来 说 ， 它 与 传统 软件 的 ， 


AR 
验证 软 伯 
业务 逻辑 进行 测试 主 





可 以 预定 安全 策略 进行 


拦截 或 放行 。 


可 以 建立 一 个 账户 信 
普通 数据 、 隐 私 数据 、 账 户 常规 设置 和 关键 设置 等 引入 不 同 的 验证 机 制 。 对 于 访 
ij 入 密码 ， 如 果 是 关键 隐私 数据 ， 








全 





行为 监测 策略 进 


县 安全 分 级 机 





除 在 线 验证 之 

















恶意 脚本 会 尺 











[测试 流程 优化 的 整 








要 考虑 : O 








羽 绕 项 











质量 目标 ， 进 行 测试 计划 制订 、 











个 过 程 。 





量 发 出 更 多 的 请 
或 者 表现 为 对 Web 服务 的 访问 规律 出 现 异 常 现 








求 ， 

















测试 用 例 




















功能 的 完整 性 、 正 确 





性 和 一 致 性 。 











LEEA IFE 





定 差异 ， 





要 目标 是 检查 软件 是 否 满足 需求 说 明 书 中 


LERNER OWASE; OWENE 


PE Rs 














辑 定 伟 


上 需要 支持 多 和 





H^, 











每 个 租户 有 着 




















QN 


2 
1l; 














HP; Oz 

















JAJE E 





BREET 
而 能 够 根据 需求 的 变化 随时 
中 大 多 数 定 和 























| 操作 | 











84 云 服务 质量 测试 


近年 来 很 多 云 有 











务 造成 ; 











从 用 户 


击 ， 影 响 使 用 者 对 于 云端 


角度 看 ， 





有 务 提供 




















做 出 相应 的 定 表 
管理 员 来 执行 ， 而 不 是 | 


E 系 统 运行 前 定制 ， 而 是 


JJ, if] He b 





己 不 同 的 定制 ， 
要 能 够 在 系统 
I 时 不 能 把 系统 暂停 下 来 ， 


而 传统 软件 

















运行 过 程 ! 




















软件 








供应 商 的 开 











商都 曾 发 生 过 不 同 程度 的 服务 中 断 
服务 的 信心 ， 


也 会 限 第 








当前 云 服 务 市 场 产品 





在 选 购 云 服务 产品 时 需要 特别 关注 自身 的 需求 、 云 服务 的 质量 和 性 





因此 , f 
测试 成 本 ， 





E, v 
EM 














-E 








确 











云 服务 质量 度 
保 云端 服务 的 高 质量 








rus 





Xv A ul 











| 云端 服务 的 推广 与 应 月 
恨 劳 不 齐 ， 云 主机 质量 严重 缺乏 透明 度 ， 


F 方 法 与 测试 程序 ， 


4g 








事件 ， 








价 比 。 

















8.4.1 服务 质量 参数 的 选取 与 度量 














议 ， 是 服务 





即 SLA 是 服务 提供 


提供 








一 项 值得 


ARH, 











要 对 云 服 务 质量 进行 度量 ， 首 先 要 确定 相应 的 服务 质量 
SLA 的 一 项 重要 内 容 。SLA 的 定义 : 服 
商 和 使 用 者 之 间 的 
































商 和 用 户 














量 测 量 标准 











对 于 云 计 算 来 说 ， 服 务 质量 
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和 技术 等 。 





就 是 它 所 提供 














究 的 内 容 。 


参数 。 服 务 质 量 





服务 的 质量 。 服 务 质 量 参数 是 用 户 与 服务 提供 


这 些 事件 的 发 生 会 对 
Jj. 


动态 执行 ， 从 
以 免 影响 其 人 








H 


Y 


发 人 员 来 配置 。 


|y 








中 小 企业 


以 期 降低 云端 服务 软件 质 


参数 的 定义 是 
务 等 级 协议 是 一 个 经 过 双方 谈判 协商 而 签订 的 正式 协 
目的 在 于 对 服务 、 优 先 级 和 责任 等 达成 共识 。 
之 间 的 一 个 协定 ， 规 定 了 相关 的 服务 质量 参数 以 及 相应 的 服务 质 

















商 协 商 3 
3r 21 ; 


























定义 在 SLA 中 与 各 种 服务 相关 的 需要 保障 的 参数 。 下 面 是 度量 云 服务 质量 的 常用 





(1) 可 用 性 
可 被 使 
































用 的 可 能 性 。 服 务 可 用 性 通常 
务 在 各 目的 服务 访问 点 可 操作 的 时 间 比 例 。 
在 服务 访问 点 ， 一 个 影 


间 。 在 SLA 中 规定 的 服务 时 间 内 ， 服 务 不 可 


















































可 用 性 表示 一 个 服务 是 否 存在 或 者 是 否 可 以 立即 使 月 











一 个 百分比 来 表达 ， 这 个 百分比 表明 了 合约 





响 服 务 的 不 可 用 事件 称 为 故障 。 故 障 事 伯 
性 百分比 为 所 有 故障 时 间 所 























(2) 性 能 ”服务 性 能 一 般 可 以 通过 服务 1 
好 。 














性 能 




















(3) FER ”吞吐 率 表示 服务 的 处 理 能 力 ， 一 般 可 以 





来 衡量 。 








《4) 利用 率 ”在 保证 响应 时 间 的 条 件 下 ， 服 务 可 达到 的 最 大 利 月 

















j 单 位 





























段 时 间 内 已 经 利用 的 资源 与 总 资源 的 比值 来 表示 。 利 
同时 ， 用 户 也 可 以 根据 利用 率 来 判断 对 所 购买 服务 的 


调整 。 












































8.4.2 SaaS 云 服务 质量 测试 




















这 里 以 Saas 云 服务 为 例 ， 论 述 云 服务 质 量 的 测试 方法 ， 即 依据 云端 特性 # 
25010 软件 质量 评 量 模型 。 参 考 文 献 [19] 将 云端 特性 分 为 功能 性 








试 过 程 中 则 以 子 特征 〈 评 量 指标 〉 作 为 测试 评 量 目标 。 
设计 适当 的 评估 指标 量化 计算 方式 进行 测试 验证 。 
获得 量化 的 结果 ， 故 采用 
行 评估 。 
1. 功能 性 测试 步骤 
步骤 1: 确定 软件 质量 模型 中 对 应 的 质量 特征 。 























cM ER 


AE FR, 



















































































步骤 2: 依据 特征 设计 调查 表 ， 并 进行 调研 。 
步骤 3: 审查 结果 再 以 量化 方式 计算 符合 度 。 
2， 非 功能 性 测试 步骤 

步骤 1: 确定 软件 质量 模型 中 对 应 的 质量 特征 。 












































步骤 2; 依据 特征 定义 设计 计算 公式 3 
步骤 3: 计算 整体 符合 度 。 























测 

















时 间 内 处 理 的 


昌 率 即 服务 利 
j 率 可 以 表明 一 段 时 间 内 服务 的 繁忙 
使 用 情况 ， 从 而 对 所 需 购买 的 服务 作 进 一 步 


试 与 非 功能 性 测试 ， 而 在 涡 
在 测试 过 程 中 ， 验 证 软件 质量 子 特征 并 
然而 ， 并 非 所 有 的 质量 特征 评价 指标 都 可 以 
(计算 公式 ) 和 定性 (调查 表 〉 相 结合 的 方式 对 SaaS 云 服务 进 








Ww 








昌 ， 用 来 衡量 一 个 服务 
规定 的 服 














的 持续 时 间 为 故障 时 
占 的 比例 。 











向 应 时 间 来 衡量 。 短 的 服务 响应 时 间 表 示 服 务 的 


服务 请 求 数量 
































率 。 可 以 用 
青 况 。 











= 














参考 ISO/IEC 
| 

















收集 测试 数据 计算 各 评价 指标 。 


下 面 仅 以 多 租户 “功能 性 ) 以 及 高 可 靠 度 〈 非 功能 性 ) 特性 为 例 ， 说 明 SaaS 服务 质量 的 








评测 方法 。 


8.4.3 ”多 租户 服务 质量 测试 
多 租户 为 SaaS 云端 服务 的 重要 特性 











e 




















， 通 过 多 租户 
简化 操作 并 降低 营运 成 本 ， 在 同一 云端 资源 池 服 务 大 量 使 月 























户 提供 一 个 单独 的 使 用 环境 ， 每 个 客户 的 数据 却 是 独立 存放 的 ， 彼 此 互 不 相通 。 
于 定性 评估 ， 




















多 租户 特性 所 对 应 质量 模型 中 的 相关 质量 特征 属 


调查 表 的 方式 调查 云端 服务 提供 商 的 多 租户 架构 设计 ,看 



































因 





的 架构 ， SaaS 服务 提供 商 可 以 大 量 
日 者 《租户 )。 服 务 供应 商 为 每 个 租 



































此 在 测试 过 程 中 ， 将 以 



































保 各 租户 彼此 的 独立 性 为 测试 任务 的 
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主要 目标 。 从 技术 角度 来 讲 ， 多 租户 的 架构 是 通过 隔离 技术 实现 的 ， 多 租户 的 服务 模式 支持 租 
户 在 运行 时 可 自行 调整 服务 ， 而 不 影响 其 他 租户 。 当 租户 数量 增加 时 ， 可 能 会 导致 服务 可 用 性 
问题 。 因 此 ， 多 租户 属于 功能 性 特性 ， 与 其 对 应 的 质量 特征 有 可 移植 性 、 易 用 性 、 相 容 性 、 安 
全 性 与 可 维护 性 。 多 租户 评估 指标 内 容 见 表 8-309。 


表 8-3 AER 

软件 质量 特征 | F 特 征 调查 内 容 a 
| 户 界 而， 应 用 程序 的 用 户 操作 接站 是 天 支持 定制 油 整 并 和 可 通过 
dius “”” LL | 设 定 更 改 外 观 而 不 影响 其 他 用 户 
通过 隔离 技术 让 每 个 客户 只 可 访问 属于 自己 的 专属 区 域 ， 加 虚拟 次 
源 、 作 业 流程 和 Web 服务 


完整 性 户 进入 操作 系统 时 是 否 进行 数据 检查 ， 以 确保 数据 完整 性 





















































































































































































































































保密 性 











































































































































































































































































































NDS ORAE RR LEBER FUR EUER BCRERI, 以便 确保 用 户 
安全 性 | TTE | 依据 授权 进行 系统 操作 
Eres HOHER ERE BIER S FUR E RUEHEBUBDEE PATERE 
查 性 。 | 保留 以 便 后 续 追踪 审查 
duae | TAERA RIERREN ADIRE, EEEN 
E 。 | 进行 信息 安全 测试 
Vb. ONIACCIXHOGNONN. XCSHEIENXED. mAN 
会 给 其 他 使 用 者 带 来 不 利 的 影响 
RH. RH" BUDEGRIEEGRACERUEN. AAEH 
i Eae 他 人 
兼容 性 业务 沉 程 ， 是 下 支持 让 容 户 依 实际 的 需求 分 本 相关 的 业务 流程 纵 不 
别 负责 人 
Taa | EARR AE SEEE ERU STEUR 
t | TARASA neos 
"E 多 和 广 服 务 的 系统 修改 、 维 护 与 更 新 作业 是 天 可 依据 不 同 的 用 户 过 
求 弹 性 更 新 与 修改 程序 ， 且 不 造成 其 他 用 户 的 影响 
I 






























































RY bye 随时 监控 并 记录 客户 端 资源 使 用 情况 ， 以 便 计 算 客户 端 可 以 使 用 多 
可 维护 性 |。 易 分 析 性 | 少 服务 项 目 或 资源 、 应 该 要 支付 多 少 费 
guns 在 不 需 更 改 程序 的 前 提 条 件 下 ， 人 每 个 客户 是 天 可 以 依据 自身 需求 对 
PENE | 业务 逻辑 进行 定制 化 设 定 

当 完 成 调查 表 评 估 后 ， 可 依据 调查 结果 ， 计 算 该 云端 服务 针对 多 租户 特性 质量 特征 的 符 
合 程度 。 多 租户 特性 符合 程度 的 计算 方法 如 下 : 


















































































































































n 符合 功能 选项 的 数量 
多 租户 功能 符合 程度 =| YE : y 
SEPT SUE EE 
tb, n 是 质量 子 特征 项 次 的 总 数 。 多 租户 特性 符合 程度 检 核 的 范围 是 [0.1]， 数 值 1 表示 该 去 
端 服 务 完全 符合 多 租户 特性 


84.4 ”可 靠 性 与 容错 性 测试 

高 可 靠 度 与 容错 机 制 是 依据 软件 质量 可 靠 性 进行 评 量 与 验证 ， 可 靠 性 测试 是 指使 用 
者 对 云端 服务 系统 的 可 靠 性 要 求 ， 通 过 对 云端 系统 进行 测试 验证 是 否 达 到 可 靠 性 要 求 的 
一 种 测试 方法 ， 高 可 靠 度 与 容错 机 制 可 通过 软件 质量 特性 中 的 可 靠 度 与 三 个 子 特征 作为 
评 量 指标 。 

1) 可 用 性 的 计算 为 云端 服务 的 使 用 时 间 与 云端 服务 的 总 运行 时 间 的 比值 。 有 关 可 用 性 的 
计算 方法 如 下 : 
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其 











“服务 总 运行 时 间 - 服务 
， 该 服务 无 法 使 


断 的 时 间 
可 用 性 。 
2) 容 

















错 性 是 指 当 





发 














可 用 





性 = 服务 总 执行 时 间 - 服务 中 断 时 间 











服务 总 运行 时 间 








， 分 母 是 云端 服务 运行 的 总 时 间 ， 而 分 子 是 该 云端 服务 可 被 使 用 的 时 间 ， 分 子 可 以 通过 
































\ 一 T 


示 该 云端 服务 具有 越 高 的 





E 错 误 或 故障 时 ， 却 不 影响 系统 运行 状况 。 容 错 性 








中 断 时 间 ” 计 算得 到 。 服 务 中 断 时 间 表 示 由 任何 故障 原因 造成 服务 中 
用 的 总 时 间 。 绪 果 范 围 是 [0,1]， 越 接近 1 表 























计 


是 曾经 发 生 过 











故障 次 数 却 没 有 造成 服务 中 断 的 比例 。 有 关 容 错 性 的 计算 方法 如 下 : 





dE: 


AN 























相关 的 软 硬 件 的 日 





志文 伯 


容错 


中 -发 生 错 误 却 没 造成 服务 

















' 断 事件 次 数 








F， 可 以 统计 发 生 故 障 的 总 数 。 因 


错误 发 生 总 次 数 





， 分 母 是 确定 发 生 故 障 的 总 数 ， 分 子 是 发 生 故 障 但 不 会 引起 失败 的 次 数 。 从 参考 云端 服务 
































际 











上 真正 发 生 故 障 的 总 数量 之 间 的 差 
示 云 端 服务 具有 越 高 的 故障 容错 性 。 


3) 可 恢复 性 是 指 


ESSA 









































异 获得 分 子 的 数值 。 




















此 ， 可 以 从 日 志 故 障 事件 的 总 数 和 实 











容错 性 结果 范围 


可 恢复 性 = 发 生 错 误 却 目 动 恢复 正常 次 数 





4) 高 可 靠 度 与 容错 机 制 整体 符合 程度 是 由 以 J 





ni 





错误 发 生 总 次 数 





























总 和 为 1. B Weln, EP n 为 评 
































表示 云端 服务 
TE EE. 
































(有 越 高 的 可 靠 性 与 容错 机 制 。 
性 x PJ HEW isp x 容错 性 + Wisst x 可 恢复 性 

















关于 更 多 的 实现 细节 读者 可 以 阅读 参考 文献 [19]。 


85 OpenStack 平台 安全 测试 实践 


85.1 搭建 环境 ” 

















这 里 安装 两 台 OpenStack 服务 器 ， 分 别 为 控制 服务 器 和 计算 
CentOS 操作 系统 ， 在 CentOS 操作 系统 中 安装 KVM 软件 ， 然 后 色 
务 器 。 在 物理 服务 器 和 虚拟 机 中 安装 OpenStack 的 区 别 在 于 底层 虚拟 化 技术 的 选择 。 若 在 物理 
上 安装 时 ， 底 层 指定 虚拟 化 技术 为 KVM， 若 在 虚拟 机 























机 
QEMUP?!I, 





控制 服务 器 负责 OpenStack 的 用 户 验 证 控制 和 服务 控制 。 控 人 
H~ KeyStone 项 目 和 Horizon 项 















































配 。 计 算 服务 器 需要 安装 Nova JU ED; Nova-network。 











安装 时 ， 底 层 虚 拟 化 技术 必须 采用 





服务 器 。 物 理 服 务 器 安装 
| 建 虚拟 机 作为 OpenStack HR 


草 服 务 器 需要 安装 Glance 项 
。 计 算 服务 器 负责 虚拟 机 实例 的 资源 分 配 、 运 行 以 及 网 络 分 











是 [0,1]， 越 接近 1 X 


曾经 发 生 故 障 事件 ， 却 自动 恢复 不 影响 运作 的 比例 。 可 恢复 性 的 计算 方 








中 ， 分 母 是 发 生 政 障 的 总 次 数 。 可 恢复 性 范围 是 [0,1]， 越 接近 1 表示 云端 服务 共有 越 高 的 可 


三 个 指标 乘 以 各 指标 的 权重 参数 W.B 
量 指 标 个 数 。 高 可 靠 度 与 容错 机 制 的 范围 是 [0,1]， 
有 关 可 靠 性 计算 方法 如 下 : 
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图 8-2 为 实验 所 架设 的 OpenStack 总 体 结构 图 。 


控制 服务 器 


Keystone 
Glance-API 
Glance-registry 
Nova-API 
Nova-cert 
Nova-consoleauth 
Nova-novncproxy 
Nova-scheduler 


MySQL i i 
Apache Qpid an Dn 


外 部 网 络 


计算 服务 器 


Nova-compnute 
Nova-network 











KVM 


























图 8-2 OpenStack 实验 总 体 架构 


1. 身份 验证 服务 部 署 

身份 验证 服务 是 由 OpenStack 的 Keystone 组 件 负责 。 其 主要 功能 是 负责 身份 验证 和 服务 
令 牌 功能 。 

Keystone 类 似 于 一 个 服务 总 线 ， 可 以 说 是 整个 OpenStack 框架 的 注册 表 ， 每 个 服务 都 要 通 
过 Keystone 对 服务 自身 和 该 服务 的 访问 点 〈Endpoint) 进行 注册 。 服 务 之 间 相 互 调 用 也 都 需 
经 过 Keystone 的 身份 验证 ， 并 经 过 访问 点 来 获取 服务 。Keystone 涉及 的 概念 主要 如 下 : 

1) User (H), REYE] OpenStack 云 服务 的 用 户 、 系 统 或 者 服务 等 。 身 份 验 证 服务 对 
用 户 提出 的 需求 进行 可 行 性 判断 。 用 户 通过 账号 及 令 牌 来 获得 访问 资源 的 权限 。 

2) Credentials， 用 于 证 明 一 个 用 户 是 合法 的 。 在 身份 验证 服务 中 ， 它 可 能 是 用 户 姓名 与 
密码 或 者 经 认证 的 令 牌 。 

3) Authentication， 用 于 确定 用 户 身份 的 行为 ， 通 过 用 户 提 供 的 证 书 来 进行 合法 性 判断 。 
验证 通过 后 ， 身 份 验证 服务 向 用 户 发 放 一 个 令 牌 ， 用 户 可 以 在 后 续 的 资源 访问 中 使 用 该 令 牌 。 

4) Token， 由 一 串 任 意 的 文本 信息 构成 。 每 一 个 令 牌 表征 着 可 使 用 的 资源 范围 。Token 可 
以 在 任意 时 候 被 撤回 ， 也 有 可 能 永久 有 效 。 

5) Tenant， 表 示 一 组 用 户 。 一 个 Tenant 可 以 有 一 个 或 多 个 用 户 ， 用 户 可 以 属于 一 个 或 者 
多 个 Tenant。 

6) Service， 提 供 了 一 个 或 多 个 Endpoint， 用 户 通过 Endpoint 访问 资源 并 进行 操作 。 

7) Endpoint， 是 一 个 通常 用 URL 来 指定 的 网 络 地 址 。 如 果 需 要 访问 一 个 服务 ， 则 必须 知 
道 它 的 Endpoint。 在 Keystone 中 包含 一 个 Endpoint 模板 ， 这 个 模板 提供 了 所 有 存在 的 服务 
Endpoints 信息 。 一 个 Endpoint 模板 包含 一 个 URL 列表 ， 列 表 中 的 每 个 URL 都 对 应 一 个 服务 
实例 的 访问 地 址 ， 并 且 具 有 Public, Private 和 Admin 三 种 权限 。Public URL. 可 以 被 全 局 访 
|], Private URL 只 能 被 局 域 网 访问 ，Admin URL 只 能 被 管理 员 访问 。 

8) Role， 代 表 一 组 用 户 可 以 访问 的 资源 权限 。 一 个 令 牌 中 包括 用 户 具 备 的 全 部 角色 。 用 
户 访问 服务 时 ， 服 务 对 用 户 所 持 的 令 牌 进行 角色 提取 ， 然 后 判断 用 户 是 否 具 有 访问 权限 。 

本 部 分 的 安装 内 容 如 下 : 

1) 安装 Keystone。 
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2) 安装 Keystone 数据 库 。 
3) 创建 用 户 、 租 户 及 角色 。 

4) 创建 身份 验证 服务 及 访问 点 。 
2. 镜像 管理 服务 部 署 


























镜像 管理 服务 对 应 OpenStack 组 件 是 Glance。 镜 像 文件 可 以 是 简单 的 文件 系统 ， 也 可 以 是 
对 象 存 储 系统 。 实 验 所 用 镜像 存储 在 文件 系统 中 ， 默 认 存 放 在 控 

















目录 下 。 
Glance 包含 如 下 组 件 : 





























1) CE-API， 提 供 镜像 发 现 、 注 册 、 检 索 及 存储 的 API 
2) Glance-registry， 存 储 、 处 理 及 检索 镜像 元 数据 ， 元 数据 包括 镜像 大 小 和 类 型 等 。 








3) Database， 存 放 镜 像 元 数据 ， 本 次 采用 MySQL 数据 库 。 








4) Storage repository for image files， 镜 像 存储 仓库 。 





本 部 分 的 安装 内 容 如 下 : 
1) 安装 Glance. 

2) 创建 Glance 数据 库 。 
3) 创建 Glance 服务 及 访问 点 。 
3. 计算 服务 部 署 


c 














计算 服务 是 OpenStack 的 核心 部 件 ， 主 要 用 于 主持 和 管理 云 计 算 系 统 ， 提 供 按 需 分 配 虚拟 








机 。 计 算 服务 需要 虚拟 化 支持 ，OpenStack 支持 
本 部 分 的 安装 内 容 如 下 : 
1) 安装 Nova. 
2) 创建 Nova 数据 库 。 
3) 创建 Nova 服务 与 访问 点 。 
4. 网 络 服务 部 署 



































多 种 虚拟 化 技术 ， 这 里 采用 QEMU。 

















b 5-85 T J/var/lib/lance/images/ 


计算 服务 自 带 的 Nova-network 实现 了 一 些 基 本 的 网 络 模型 ， 能 够 实现 云 主 机 之 间 相 互通 
FRK ENL Internet 的 相互 访问 。Nova-network 提供 两 种 IP 和 三 种 网 络 管理 模型 。 








两 种 人 P 是 指 固定 卫 〈Fixed IP) 和 浮动 耻 〈Floating IP); EE IP 分 配给 云 主机 之 后 ; 





















































变动 ， 直 至 删除 云 主机 并 将 该 耻 进行 释放 。 固 定 IP 可 以 看 作 是 所 有 云 主机 所 构成 虚拟 子 
网 卫 ， 文 持 云 主 机 之 间 的 通信 。 为 了 实现 云 主机 能 够 访问 Intemet， 需 要 为 每 个 云 3 
浮动 P， 该 浮动 IP 为 连接 互联 网 的 他， 可 以 随时 进行 绑 定 和 解除 绑 定 ， 采 月 


三 种 网 络 管理 模式 是 指 Flat (扁平 ) 模式 、FlatDHCP 模式 和 VLAN 模式 。Flat 模式 是 指 所 


















































EAS 





网 的 内 






































有 云 主机 都 桥接 到 同一 个 虚拟 网 络 ， 需 要 管理 

































































创建 网 桥 并 启动 DNSmasp 〈 一 个 用 于 配置 DNS 




















拟 机 启动 时 通过 DHCP 获取 其 固定 耳 ， 因 此 不 需要 将 网 络 配置 信息 注入 云 主机 














HRJ 


配 ， 网 络 相关 的 配置 信息 会 在 虚拟 机 启动 时 注入 虚拟 机 镜像 






























































F 动 设置 网 桥 ， 虚 拟 机 的 IP. 都 从 该 子 网 中 
P. FlatDHCP 模式 是 指 Nova ZH 


和 DHCP 的 工具 ) 来 配置 云 主机 的 固定 









































E 机 分 配 一 个 
日 动态 分 配 。 























分 

动 

IP, d 

o VLAN 模式 








会 为 每 个 项 目 (Project， 可 以 看 作 一 组 用 户 ) 提供 

















地 址 段 ， 不 同 的 项 目 之 间 是 隔离 的 ， 不 会 相互 影 
本 部 分 的 安装 内 容 如 下 
1) 安装 Nova-network。 
2) 配置 FlatDHCP。 








"Zi 






































向 。 这 里 采用 FlatDHCP 模式 。 


受 保护 的 网 段 ， 每 个 项 目 可 以 有 自己 独立 的 IP 
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5. Web 服务 环境 部 署 
Dashboard (Horizon〉 是 云 管理 人 员 与 用 户 管理 各 种 OpenStack 资源 与 服务 的 Web 接口 。 通 


















































过 Web 界面 可 以 方便 地 对 OpenStack 的 各 类 资源 进行 浏览 与 管理 。Web 服务 发 布 采用 Apache 服 


Adi. 




















本 部 分 的 安装 内 容 如 下 : 
1) 安装 Dashboard. 
2) 启动 Apache。 


8.5.2 ”测试 内 容 


1. 网 络 端口 测试 
a 服务 的 网 络 端口 见 表 8-4( 根 据 命令 #netstat -atn -p 及 Openstack 日 志 得 到 )。 
格式 说 明 : -用 途 。 




















表 8-4 OpenStack 服务 的 网 络 端口 














80-HTTP 6080-nova-novneproxy 9191-Glance Registry 
3260-Nova iscsi 8773-Nova EC2 API 9292-Glance API 
3306-MySQL 8774-Keystone compute 35357-Keystone admin 
5000-Keystone public 8775-Nova API 
5672-Nova rabbit 8776-Nova osapi-volume listen 


实验 选取 HTTP 端口 ， 测 试 其 数据 包 发 送 与 接收 的 稳定 性 。 


2. 会 话 支持 


























~ 











会 话 动 持 是 指 将 试图 劫持 OpenStack 服务 器 发 送 给 用 户 的 Session Cookie， 然 后 利用 该 
Session Cookie 信息 登录 OpenStack 服务 器 。 

实验 将 利用 第 SATAMA J] Xf3& OpenStack Dashboard 时 的 网 络 连接 信息 ， 并 试图 抓 
取 服 务 器 向 用 户 浏览 器 返回 的 信息 。 





























3 登录 信息 盗 取 
登录 信息 次 有 















































取 是 一 种 比较 简单 的 渗透 测试 技术 ， 攻 击 者 盗 取 或 者 猜测 用 户 的 登录 信息 。 
































户 登录 信息 可 能 被 存放 在 非 加 密 的 文件 中 ， 也 可 能 在 网 络 连接 中 被 非 加 密 地 进行 传输 。 这 两 





























息 去 访问 用 户 数 据 。 


实验 将 测试 OpenStack Dashboard 的 登录 信息 安全 性 。 











种 情况 中 的 任何 一 种 都 可 能 导致 用 户 登录 信息 的 泄露 ， 从 而 使 攻击 者 通过 获取 到 的 用 户 登 录 信 








8.5.3 ”选择 测试 方法 


1. 网 络 端口 测 
本 次 测试 将 采 月 
试 。 将 在 BED 命令 和 








试 方法 
H Kali Linux 系统 提供 的 BED 程序 ， 对 Dashboard 的 HTTP 服务 进行 测 
令 行 输入 如 下 格式 的 参数 : 

















#cd /usr/share/bed 
J/bed.pl-s HTTP -t 192.168.10.252 -p 80 —o 2 


其 含义 是 ， 每 2s 192.168.10.252:80 进行 HTTP 测试 。BED 将 通过 传输 一 系列 的 包 来 分 
析 HTTP 所 携带 的 信息 。 
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2. 会 话 劫持 测试 方法 





选取 Ferret 工具 用 于 监控 OpenStack 用 户 与 OpenStack 服务 端的 网 络 连接 。 当 用 户 登 录 
Dashboard 时 ，Ferret 将 试图 抓 取 服务 端 返回 给 浏览 器 的 Session Cookie. Ferret 将 会 把 Session 
Cookie 以 及 用 户 访问 的 URL 等 相关 Web 数据 保存 在 一 个 文本 文件 中 。 

选取 Hamster 分 析 Ferret 抓 取 的 文本 文件 ， 从 而 利用 用 户 的 Session Cookie 访问 





Dashboard 的 Web 界面 。 
3. 登录 信息 盗 取 测试 方法 









































采用 Wirdshark 软件 来 监控 OpenStack 用 户 与 OpenStack 服务 器 之 间 的 网 络 连 接 。 通 过 分 
析 Wireshark 抓获 到 的 网 络 数据 包 来 分 析 是 否 用 户 登 录 信 息 采 用 非 加 密 方式 传输 。 
































通过 分 析 Linux 系统 的 文件 来 分 析 用 户 登 录 信息 是 否 被 非 加 密 地 存放 在 OpenStack 的 服务 




















器 端 。 例 如 ， 采 用 vi 打开 OpenStack 的 基本 配置 文件 ， 看 能 否 查 找 出 用 户 的 登录 名 和 密码 之 








8.5.4 ”部 署 测 试 环境 





实验 采用 两 台 机 器 ， 其 中 




















Windows 7 操作 系统 主要 月 
Dashboard. Kali Linux 操作 系统 主要 用 于 网 络 端口 测试 及 会 话 劫持 测试 。 











为 Windows 7 操作 系统 ， 男 一 台 为 Kali Linux 操作 系统 。 














日 于 Wireshark 程序 的 安装 与 使 用 ， 并 负责 以 用 户 身份 登录 



































Kali Linux 是 一 个 基于 Debian 的 Linux 发 行 版 ， 包 含 很 多 安全 和 取证 方面 的 相关 工具 ， 支 持 
ARM 架构 。 按 照 官方 网 站 的 定义 ，Kali Linux 是 一 个 高 级 渗透 测试 和 安全 审计 Linux 发 行 版 。Kali 





























Linux 自 带 了 很 多 工具 集 ， 如 







































































图 8-3 所 示 。 











HH 中 最 顶层 “Top 10 Security Tools” 是 最 受 欢迎 的 十 大 

















安全 工具 。Kali Linux 共 将 工具 集 分 为 14 个 大 类 ， 在 这 些 大 类 中 ， 有 些 工 具 集 是 重复 出 现 的 。 













































































这 里 主要 用 漏洞 分 析 工 具 〈 见 图 8-40. 和 嗅 探 /欺骗 工具 〔 见 图 8-5〉 进 行 实验 。 
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图 8-4 Kali Linux 漏洞 分 析 工 具 
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8.5.5 ”实施 测试 
1. 网 络 端口 测试 




















“漏洞 分 析 ” 一 “Fuzzing TH” > “bed”. 





BED 0.5 by mjm ( www. codito. de ) & eric ( www. snake- basket. de ) 


Usage: 


第 一 步 : 打开 BED 命令 窗口 〈 见 图 8-6). 如 图 8-4 所 示 ， 依 次 选择 “Kali Linux" > 


./bed. pl -s «plugin» -t «target» -p «port» -0 «timeout» [ depends on the plugin 


] 


«plugin» 
<target> 
<port> 
«timeout» 


FTP/ SMTP/ POP/ HTTP/ IRC/ IMAP/ PJL/ LPD/ FINGER/ SOCKS4/ SOCKS5 
Host to check (default: localhost) 

Port to connect to (default: standard port) 

seconds to wait after each test (default: 2 seconds) 


use "./bed. pl -s <plugin>" to obtain the parameters you need for the plugin: 


Only -s is a mandatory switch. 


rootékali: ~# J 


A 
第 


检测 。 





# cd /usr/share/bed 


B b: 输入 如 下 命令 ， 对 OpenStack Dashboard 的 HTTP 端 





图 8-6 BED 命令 窗 


























#./bed.pl -s HTTP —t 192.168.10.252 -p 80 —o 2 





然后 系统 会 输出 测试 结果 ， 
务 是 否 具 有 较 强 的 稳定 性 。 
2. 登录 信息 劫持 测试 









































采用 Windows7 连接 OpenStack Dashboard 界面 。 

















第 一 步 : 进入 OpenStack 
test1/123456., 




















Dashboard， 并 输入 普通 用 户 名 及 密码 ， 本 次 实 




















认 即 可 。 








192.168.10.252”。 
此 时 ， 通 过 观察 可 以 发 现 月 
同样 ， 当 以 管理 员 的 身份 登 
是 明文 传输 ， 如 图 8-9 所 示 。 








第 二 步 : 在 Wireshark 应 用 程序 中 配置 监控 网 -| 
































ru 
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第 三 步 : "ul; "Stat" TEL CE 8-7 中 左 侧 绿色 的 类 似 小 帆船 的 图 标 )。 
第 四 步 : 过 滤 发 往 OpenStack Dashboard 目的 地 址 的 包 ， 即 图 8-8 H 






























































于 Windows7 只 有 1 Ss 





192.168.10.252:80 进行 漏洞 


己 户 可 以 依据 各 个 指标 是 否 正 常 ， 确 定 Dashboard 的 HTTP HR 





验 中 采用 的 是 


此 默 





7p 
BH 








的“ ip.ds 伍 = 


HJ" Æ Dashboard 界面 输入 的 用 户 名 及 密码 是 明文 传输 。 


$K Dashboard 时 ， 其 用 户 名 及 密码 (admin/ADMIN_PASS) 也 
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AM The Wiresh 


alyzer [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
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| | — Files | 


Interface List B Open 


Live list of the capture interfaces Open a previously captured file 
(counts incoming packets) 





Open Recent: 








| ; Start 
^. Choose one or more interfaces to capture from t then Start @ Sample Captures 
ke 本 地 连接 


| A rich assortment of example capture files on the wiki 





@ Capture Options 


Start a capture with detailed options 


Capture Help 


How to Capture 


Step by step to a successful capture setup 


| 
«| 四 ] , 
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8-7 Wireshark 开启 监控 
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[HTTP request 1/1] 
[Response in frame: 180] 

& Line-based text data: application/x-www-form-urlencoded 
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Profile: Default 
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lle f| Text tem (text), 127 bytes 





| Packets: 534 - Disp... 
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图 8-8 Wireshark 监控 结 




















Mmi [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] EIE) 
Eie Edt View Go Capture Analyze Statistics Telephony Tool Internals Help i 
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ource Destination Protocol Length Info á 
192. = 10.215 192.168.10.252 TCP 66 51142 > http [SYN] Seq-0 win-8192 Le | 
2.168.10.215 192.168.10.252 TCP 54 51142 > http [ACK] Seq=1 Ack=1 Win== 





192.168.10.215 192.168.10.252 HTTP 950 POST /dashboard/auth/login/ HTTP/1.1 
192.168.10.215 192.168.10.252 TCP 54 su » 一 一 一 一 Saedur Ack-1803. 





92.168.10.215 192.168.10.252 T TB EE 
|192.168.10.215 192.168.10.252 TCP 


4 | 四 




















[HTTP request 1/1] 
[Response in frame: 64] 
s Line-based text data: application/x-www-form-ur lencoded 

















ttp%3A%2 
0.0.1%3A 


r name=adm 
/ Ord=ADMI 





@ | Line-based text data (data-text-in... | Packets: 101 Displ... | Profle: Default 








图 8-9 Wireshark 监控 结果 2 
3. 会 话 劫持 测试 











这 里 采用 Kali Linux 系统 提供 的 Hamster 工具 进行 Session. 窃取 实验 。 预 期 目标 是 当 在 
Windows 7 操作 系统 中 登录 Dashboard 时 ， 利 用 Ferret 窃取 到 该 Session， 并 由 Hamster 解析 ， 
最 终 实现 在 Kali Linux 系统 中 实现 Dashboard 登录 〈 不 必 输 入 用 户 名 及 密码 )。 

由 于 Kali Linux 系统 默认 不 提供 Ferret 工具 ， 因 此 ， 需 要 用 户 下 载 和 安装 Ferret 程序 ， 然 








后 就 可 以 利用 Ferret 和 Hamster 进行 Session 窃取 实验 。 




















第 一 步 : 架设 Hamster 代理 。 如 图 8-10 所 示 ， 设 置 浏 览 器 代理 ， 即 配置 为 使 用 本 地 回环 


地 址 1234 端口 的 127.0.0.1。 





(—— Connection Settings 
ii] Configure Proxies to Access the Internet 
Gener| O No proxy 
O Auto-detect proxy settings for this network 
Sener O Use system proxy settings 








Conn € [Manual proxy configuration: 





























Example: mozilla.org, .net.nz, 192.168.1.0/24 
O Automatic proxy configuration URL: 








f 
| l Reload 














oA remor preoa Jes [oi e] 
Cach| O Use this proxy server for all protocols 
Yos SSL Proxy: | Port: [ B ow | 
B ETP Proxy: Port: o E 
SOCKS Host: Port: o E 
oru O SOCKS v4 (9 SOCKS v5 
Yo No Proxy for: ow | 
gj localhost, 127.0.0.1 hs.) 
Thé 

















图 8-10 Hamster 网 络 代理 设置 
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Hamster, HAEE: 依次 选择 “Kali Linux" — “RPR” — “Web IR 





进入 如 图 8-11 所 示 的 Hamster 监测 界面 。 





而 











左 侧 会 出 现 获 取 的 有 关 信 息 。 若 Session 窃取 成 功 ， 


| A TUR 

文件 (F) ”编辑 (E) ”查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 
HAMPSTER 2.0 side- jacking tool --- 

Set browser to use proxy http: // 127. 0. 0. 1: 1234 
DEBUG: set ports option( 1234) 

begining thread 

DEBUG: mg.open, listening. port( 1234) 

Proxy: listening on 127. 0. 0. 1: 1234 
starting adapter eth0 

execle( ferret): No such file or directory 
GET /help/ 

push: Broken pipe 

push: Broken pipe 

GET /help/ 

push: Broken pipe 

push: Broken pipe 

starting adapter eth0 

execle( ferret): No such file or directory 


图 8-11 Hamster 监测 界面 


» 


y 





Ni: 





三 步 : 实施 劫持 。 在 浏览 器 中 网 址 栏 输入 “http:/hamster”， 打 开 


第 二 步 ， 登录 会 话 。 为 了 可 以 使 用 Hamster 发 起 实际 攻击 ， 需 要 启动 会 





























话 劫持 工具 


$K” — "Hamster", 








F Hamster, 5l 


8-12 所 示 页 面 。 然 后 需要 在 网 页 的 右 半 部 分 单 击 目 标 IP 地 址 192.168.10.252 后 ， 网 页 
则 可 以 从 左 侧 的 网 址 直接 进入 网 站 ， 




















从 而 实现 用 户 数据 的 盗 取 。 
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File Edit View History Bookmarks Tools Help 


Hamster w 
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€ hamster 


-- no cloned 
target -- 





No target has been selected 
yet 


targets. again 


the browser 


Status 


Adapters: none 
Packets: 0 
Database: 1 





packets are being rec 


Proxy: unknown 


—9 


HAMSTER 2.0 SideJacking 


Targets: 192. 168. 10. 252. 
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[Most Visitedv fillorrensive Security Ñ Kali Linux «Kali Docs KliExploit-DB. W Aircrack-ng 


WHEN SWITCHING target, rember to close all 
windows in your browser and purge all cookies first 





E 


STEPS:In order to sidejack web sessions, follow these 
steps. FIRST, click on the adapter menu and start 
sniffing. SECOND, wait a few seconds and make sure 
eived. THIRD, wait until targets 
appear. FOURTH, click on that target to "clone" it's 
session. FIFTH, purge the cookies from your browser 
just to make sure none of them conflict with the c 


loned 


TIPS: remember to refresh this page occasoinally to 
see updates, and make sure to purge all cookies from 








图 8-12 Hamster 页 面 的 运行 界面 
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云 计算 技术 和 
存 ， 











首先 介绍 云 





且 在 应 用 中 以 事实 标准 为 主 。 
云 间 的 互通 和 业务 迁移 需 





第 9 章 ，” 云 计算 标准 


产业 仍 处 于 发 























展 的 初期 阶段 ， 目 前 云 计 算 呈 现 事 实 标准 和 


公共 月 











随 着 云 计算 作为 一 种 
求 不 断 提升 ， 云 计算 的 开 


























JUI 
1E 


云 安全 领 


借鉴 的 经 验 。 











9.1 概述 




















由 于 云 计算 还 处 于 不 断 发 











[3 ", 
营 标准 ， 








因此 ， 要 实现 云 计 算 真 
确保 云 计算 平台 的 互 


























务 提 供 





fa 








为 了 增强 安全 性 门 。 


目前 ， 业 内 普遍 认为 ， 要 想 从 根本 上 解决 云 安全 问题 
际 标准 组 织 等 需要 寻求 合作 ， 














全 标准 体系 的 





商 之 间 的 接口 标准 以 及 云 服务 提供 
对 云 计 算 的 安全 问题 表示 担 羽 











域 的 标准 研究 情况 进行 阐述 ， 





希望 能 


人 六 








服务 的 属性 不 断 加 强 ， 
放 标 准将 成 为 重要 的 发 展 趋势 。 本 章 
计算 特别 是 云 安 全 的 标准 研究 工作 ， 然后 对 当前 主要 的 标准 化 组 织 及 其 各 目 











开放 标准 3 
以 及 





























展 阶段 ， 业 界 各 方 很 难 达成 
E 的 产业 化 并 步 入 平稳 发 展 阶 段 ， 必 须 制 订 统 一 
p cd cag M 











EH. 








5 Fs] A mu A b EE SI 




















完 及 制订 者 提供 





正如 俗话 说 “无 规矩 不 成 方 





的 技术 标准 和 运 
先 制订 云 服 


























商 与 应 





:， 这 就 促 合计 来 越 多 的 组 织 和 机 构 志和 





方 之 间 的 接口 标准 。 


HT 























另外 ， 由 于 云 用 户 普遍 
云 安 全 标准 ， 目 的 就 是 









































kE] 





进 统 











9.4.1 云 标准 化 组 织 





国内 外 研究 和 制 








任务 组 (DMTF)、 
标准 
计算 的 标准 化 工作 。 
算 标 准 化 的 新 > 
标准 研制 ， 
$ OUE 
a H X pd ide 

































































陈 























宣布 加 入 云 计算 标准 的 种 


兴 标 准 组 织 。 ALY 
如 CSA 主要 关注 云 安 全 标准 
电信 联盟 ATU), 
域 的 标准 组 织 。 他 们 关于 云 让 





OL CSA 和 云 计算 互 操作 论坛 (CCIF) 等 为 代表 的 专门 致力 
f 兴 的 标准 化 组 织 和 协会 


订 云 计算 安全 标准 的 组 织 有 4 
上 订 行 列 。 这 些 标准 组 乡 
开放 网 格 论坛 COGFO 和 网 
组 织 或 产业 联盟 ， 这 些 标准 组 织 中 有 一 部 分 原来 





























Ti 








Fra 











到 际 标准 


























委员 会 ， 如 软件 和 系统 工程 技术 委员 会 
(ISO/IEC JTCI SC27)， 在 原 有 标准 化 了 




















安全 


| 算 标 
CISO/IEC JTCI SC7 )、 


WE 


化 








RZ. Hnj. 4l 
内 大 致 可 分 为 以 下 3 part 
络 存储 工业 协会 (SNIA) 等 为 代表 





，CSC 主 
化 组 织 (ISO). IEEE 和 IETF 等 为 代表 的 传统 ! 
的 工作 大 致 分 为 两 类 : 





[ 作 的 基础 








性 界 已 经 有 50 多 个 标准 组 织 


， 众 多 安全 厂商 、 传 统 及 新 兴 的 国 
开放 的 云 安全 标准 体系 的 建设 。 事 实 上 ， 相 关 云 安 
究 和 制订 已 经 成 为 业界 的 一 致 诉求 品 。 











是 专注 于 网 格 标准 




















: (DD 以 分 布 式 管理 
的 传统 IT 
化 的 ， 现 在 转 而 进行 云 




















， 通 常 从 某 一 
要 从 客户 使 用 云 























n 


























施 实用 规则 》《 公 














进行 云 计 
方面 入 手 ， 开 展 云 计算 
服务 的 角度 开展 标准 研 





























a 


一 美 是 已 有 的 分 技术 





息 技术 安全 技术 委员 会 
Hl 上 逐步 渗透 到 云 计 算 领 域 。 其 主 
《基于 ISO/IEC 27002 的 云 计 算 服 务 的 信息 安全 控制 措 
制 实 用 规则 》《 供 应 商 相 关 信息 








要 成 果 有 
有 云 服务 的 数据 保护 控 





第 4 部 分 云 服 务 安全 指南 。 这 些 规则 和 指南 基本 确定 了 
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云 计算 安全 和 隐私 的 概念 体系 架构 。 另 一 类 是 新 成 立 的 分 技术 委员 会 如 分 布 式 应 用 平台 和 服务 
































(ISO/IEC JTC1 SC38)、 信 息 技 术 可 持续 
























































AJ (ISO/IEC JTCI SC39) 等 开展 云 计算 领域 新 兴 标 
准 的 研制 。SC38 的 主要 成 果 是 与 ITU-T 形成 联合 工作 组 共同 推出 《 云 计算 概述 和 词汇 》 与 
《 云 计算 参考 架构 》 两 项 标准 。 

这 些 标 准 组 织 关于 云 计算 标准 化 工作 的 研究 和 制订 主要 集中 在 如 下 几 个 方面 : 四 云 计算 


























的 概念 、 架 构 与 应 用 场景 ， 如 NIST 和 ITU 的 电信 标准 化 部 (ITU-T) 等 组 织 进行 了 相关 研 
究 ;， @ 云 计算 业务 的 互 操作 ， 如 OCC 等 标准 组 织 进 行 有 关 研 究 ，@@ 云 计算 安全 ， 如 CSA 和 
































ITU-T 等 进行 相关 研 9 




















究 ; 云 计 算 相关 技术 ， 从 事 这 方 












































计算 的 运 维 与 资源 管理 ， 如 DMTF、 结 构 化 信息 标准 促进 组 织 (OASIS) 等 。 















































研究 的 比较 有 名 组 织 是 SNIA; OZ 









































在 国内 ， 工 信 部 自 2009 年 以 来 已 将 推动 和 促进 云 计算 技术 研发 、 产 业 发 
重点 工作 内 容 之 一 ， 并 及 时 组 织 中 国电 子 技术 标准 化 研究 所 、 全 国信 息 技术 标准 化 技术 委员 会 



































展 和 标准 化 作为 





SOA 标准 工作 组 、 工 业 和 信息 化 部 信息 技术 服务 标准 工作 组 ， 局 动 了 云 计 算 相关 技 术 和 服务 











标准 的 预 研 、 规 划 及 标准 




















制订 工作 。 
由 于 云 计算 安全 研究 尚 处 于 
准 和 工作 重点 也 不 尽 相 同 。 比 如 





















































全 密切 相关 的 研究 项 目 。 
9.1.2 云 标准 化 内 容 








(SC27) 是 信息 安全 领域 中 最 
理 和 技术 领域 ， 包 括 信息 安全 管 ] 
服务 、 身 份 管理 与 隐私 保护 技术 。 
私 》， 随 后 又 启动 了 《 云 安 全 评估 







































































起 步 阶 段 ， 业 界 尚 未 形成 统一 标准 。 不 同 组 织 所 制订 的 标 
，ISO/IEC 下 专门 从 事 信 息 安全 标准 化 的 分 技术 委员 会 
代表 性 的 国际 标准 化 组 织 。SC27 的 工作 涵盖 了 信息 安全 管 
理 体 系 、 密 码 学 与 安全 机 制 、 安 全 评价 准则 、 安 全 控制 与 















































SC27 于 2010 年 10 月 启动 了 研究 项 目 《 云 计算 安全 和 隐 





和 审计 》《 适 于 云 的 风险 管理 框架 》《 云 安全 组 件 》 与 云 安 






































从 现 有 云 计 算 标 准 化 组 织 所 关注 内 容 的 分 布 看 ， 云 计算 标准 组 织 繁 多 ， 不 少 组 织 的 




















研究 方向 和 内 容 之 间 都 有 交集 。 
































虚拟 化 技术 、 云 存储 、 云 安全 、 云 计算 模型 、 云 服务 和 








R 是 当前 云 计 算 标准 


Pe 























D 云 计算 互 操作 和 和 



































务 层面 如 何 调 用 、 使 用 云 























J7) 














mn 





服务 。 








研究 的 热点 。 有 具体 来 讲 ， 需 要 进行 标准 化 的 主要 内 容 如 


霄 成 标准 。 涵 盖 不 同 的 云 之 间 ， 如 私有 云 和 公有 云 之 间 、 公 有 云 和 公 
有 云 之 间 、 私 有 云 和 私有 云 之 间 的 互 操作 性 和 集成 接口 标准 。 
2) 云 计算 服务 接口 标准 和 应 





开发 标准 。 针 对 云 计算 与 业务 层面 的 交换 标准 ， 从 业 




















D 云 计算 不 同 层面 之 间 的 接口 标准 ， 包 括 架 构 层 、 平 台 层 和 应 用 软件 层 之 间 的 接 





标准 。 











4) 不 同 云 计算 之 间 无 颖 迁移 的 可 移植 性 标准 。 


5) 云 计算 架 构 治理 标准 ， 包 
































持 、 质 量 管理 和 服务 水 平 











6) 云 计算 安全 和 隐私 标准 


























| 






































括 设计 、 规 划 、 架 构 、 建 模 、 部 署 、 管 理 、 
协议 的 标准 。 
， 包 括 数 据 的 完整 性 、 可 用 性 和 保密 性 等 内 容 。 






































总 体 来 讲 ， 国 内 外 云 计算 的 开放 标准 研究 进展 较为 缓慢 ， 尚 未 建成 一 个 














准 体系 ， 也 没有 一 个 规范 





化 的 标准 。 

















开放 的 云 安全 标 











这 需要 整个 行业 统一 行动 ， 为 云 计算 建立 














标准 ， 以 促进 不 同 云 计 算 
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厂商 之 间 











的 互通 性 。 








套 统一 的 国际 





92 NIST 的 相关 标准 





NIST 是 美国 商务 部 下 属 的 一 个 非 政 府 监管 机 构 ， 成 立 于 1901 年 。 为 了 落实 和 配合 美 














的 云 架 构 、 安 全 
发 接口 等 。 





AIVE S 























国联 邦 云 计算 计划 ，NIST ÆRET aike ET H E Ir Etek E SA 








术 标 准 在 政府 和 工业 领域 有 效 和 安全 地 应 用 。 它 提出 了 云 计算 的 定义 ， 针 对 美国 联邦 

































































EJ dx 


政府 








各 ， 专 注 于 美国 联邦 政府 的 云 标准 、 云 接口 、 云 集成 和 云 应 








JF 











NIST 下 设 5 个 云 计 算 工 作 组 ， 即 云 计算 参考 架构 和 分 类 工作 组 、 旨 在 促进 云 计算 应 
用 的 标准 推进 工作 组 、 云 计算 安全 工作 组 、 云 计算 标准 路 线 图 工作 组 和 云 计算 业务 用 例 工 




















TER 


H 2011 FE, NIST 先后 发 布 若干 有 
访问 控制 模型 中 安全 访问 边界 问题 的 《 通 
监控 以 及 虚拟 面临 的 安全 
缓和 措施 》 草 案 对 各 利 

















和 不同 部 署 平台 可 能 面临 的 安全 威胁 进行 了 详 











































































































关 云 计算 及 云 安 全 的 标准 或 草案 ， 如 规范 云 安全 
云 计 算 环境 》 草 案 ， 阐 述 虚 拟 机 隔离 、 虚 
威胁 的 《完全 虚拟 化 技术 安全 指责》 标准 。 

















措施 。2014 Œ, NIST 发 布 《美国 政府 云 计算 技 术 路 线 图 》 聚 焦 战 略 和 战术 目标 ， 以 





联邦 政府 加 速 发 


架构 》《 安 全 控 秆 












































9.2.1 《 云 计 算 参 考 体系 架构 》 标 准 








中 事务 或 流程 以 及 执行 任务 















































组 织 ，@ 云 提供 者 ， 
导 对 云 计算 服务 及 云 计算 实例 的 信息 系统 操作 、 性 能 和 安全 性 的 中 立 评估 机 构 或 实体 ，@ 云 代 
， 管 理 云 计算 服务 的 使 用 、 性 能 以 及 交付 的 实体 ， 能 够 协调 提供 者 和 消费 者 之 间 关 系 ;，@ 云 


负责 向 


此 标准 发 布 于 2011 年 ， 主 要 内 容 是 提出 了 云 计算 参考 框架 及 类 型 划分 。 
NIST 的 云 计 算 参 考 架 构 定 义 了 云 计 算 中 的 5 个 主要 参与 者 。 每 个 参与 者 都 是 参与 云 计 算 
的 一 个 实体 。 具 体 来 讲 : du dnd 使 用 云 提 供 






























































云 消费 者 提供 可 用 服务 的 个 人 、 组 织 或 实体 ，@@ 云 






































载体 为 提供 者 向 消费 者 的 云 服务 提供 连接 和 传输 的 媒介 
如 下 组 件 构成 : (服务 部 署 。 按 照 NIST 对 云 计算 的 定义 ， 云 基础 


云 计 算 参 考 架 构 主要 1 












































设施 上 共有 公有 云 、 




















统 组 件 进行 组 合 





私有 云 、 
费 者 独占 的 程度 。@ 服 务 编排 。 为 文 撑 云 提供 者 对 计算 资源 的 安排 、 协 同和 管 3 
为 云 消费 者 提供 服务 。@@ 云 服务 管理 。 包 括 所 有 与 服务 相关 的 管理 
服务 都 是 云 消费 者 所 需 的 或 占 其 推荐 的 。@ 安 全 。 云 计算 参考 模型 


Au 
和 操作 所 必需 的 功能 ， 这 些 











其 能 够 







































































社区 云 和 混合 云 等 5 种 部 署 模 式 。 它 们 的 区 别 在 于 计算 资源 允许 消 


于 等 行为 ， 


者 服务 的 个 人 或 
审计 者 ， 能 够 指 





拟 机 


as RE 
EF 尽 的 分 析 ， 并 提出 应 





展 云 计算 的 想法 。 其 成 果 还 有 《NIST 云 计 算术 语 定义 》《NIST 云 计算 参考 
D E. 





对 系 






























































各 个 层面 在 安全 方面 都 存在 交集 ， 从 物理 层面 的 安全 到 应 用 层面 安全 都 是 参考 模型 需 考虑 的 问 
题 。 因 此 ， 云 计算 架构 中 的 








他 相关 的 参与 者 。 





适当 的 、 一 致 的 | 

































































VIEN 











通信 、 使 用 和 丢弃 的 约定 。 


9.2.2 《公有 云 计 算 中 安全 与 隐私 》 草 案 


此 标准 外 发 布 于 2011 年 ， 其 主要 内 容 是 提供 




















县 和 个 人 认证 





安全 问题 个 于 是 存在 于 去 提供 考 的 范畴 ， 同样 也 包括 云 消 费 者 和 其 
隐私 。 云 计算 提供 者 应 保护 的 信息 。 主 要 包括 对 个 人 信 , 
处 理 、 





信息 





公有 云 计 算 的 概括 以 及 在 安全 和 隐私 方面 的 














挑战 ， 论 述 了 公有 云 环 境 的 威胁 、 技 术 风 险 和 保护 措施 ， 并 为 规划 出 合理 的 信息 技术 解决 方案 
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提供 一 些 见解 。 





KDE 容易 引起 黑客 的 





该 草案 指出 ， 公 有 云 给 安全 带 来 了 积极 方面 ， 但 也 带 来 一 些 潜在 风险 ，3 
攻击 ;，@ 多 租户 共 


























; @@ 公 有 云 计算 通过 互 
ji , 
该 草案 还 指出 ， 





























应 等 。 


9.3 ”0654 的 相关 标准 
CSA 的 诞生 绝 非 偶然 ， 








联网 交付 ， 用 户 的 应 
增加 了 数据 泄密 的 风险 。 
公有 云 面临 的 关键 性 
从 、 信 任 、 云 计算 体系 结构 、 身 份 与 访问 控制 、 





随 着 云 计 算 的 快速 发 展 ， 各 大 企业 都 加 





























的 安全 与 隐私 问题 主要 有 管理 、 
软件 隔离 、 数 据 保护 、 可 用 + 























应 用 软件 来 降低 成 本 、 提 高 效率 。 然 而 ， 数 据 在 云端 的 安全 问题 一 直 困 拓 着 企业 ， 

















的 持续 普及 ， 云 安全 的 受 关注 度 也 与 





俱 增 。 














于 是 ，CSA 应 运 而 生 ， 这 个 非 营利 























要 职能 WS 境 下 提供 企业 认可 的 最 佳 安全 方案 。 


CSA 的 宗旨 
保护 其 他 形式 的 计算 
Intel, Cisco. Google. Novell. Oracle, 
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“促进 云 计 算 安 全 技术 的 最 佳 实践 应 用 ， 并 提供 云 计算 
成 立 以 来 ，CSA 获得 了 业界 的 广泛 认可 ， 如 Dell. 
McAfee 和 VMware 等 




















"ERI 





事件 

















享 计算 资源 ， 增 加 了 网 络 和 计算 基础 设施 的 风 
和 数据 面临 来 自 网 络 和 暴露 接口 的 威胁 ; OH" 


法 律 法 规 的 遵 


响 


i 续 选择 基于 云 计算 平台 的 











^H 





的 使 用 培 
HP. Microsoft, 


"E2H2 


yl 











国际 领先 的 ! 


























网 络 设备 


| 商 、 网 络 安全 厂商 、 云 计算 提供 商 等 都 是 其 组 织 成 员 。 








等 建立 起 定期 的 技术 交流 机 秆 





l, 














相互 通报 并 吸收 各 








在 云 安全 方面 的 成 果 和 进展 。 



































H, CSA 宣布 与 ISO 及 IEC 一 起 合作 进行 云 安全 标准 











的 开发 。 








CSA 先后 发 布 了 一 系列 关于 云 计算 安全 的 标准 和 研 
AFE 








域 安全 指南 》《 云 控制 矩阵 》《 身 份 管理 与 
《 云 1 


2 















































计 》《 定 义 云 安 全 : 
浊 》《 云 计算 的 主要 安全 威胁 报告 》《 
RETI 《CSA 云 控 制 模型 》 《CSA 报告 》《2013 云 安 全 九 大 威 用 





| 上 指 





电信 运营 
另外 ，CSA 5 ISO, ITU-T 
2011 Æ 4 


向 、 


云 应 用 
织 的 


K 





, 


IT 














x 


帮助 


和 


究 报 告 ， 主 要 成 果 有 《 云 计 算 关 键 领 
导 建 议 书 》《 云 计算 安全 障碍 与 缓和 措施 》 


六 种 观点 》《 云 信任 协议 》《 隐 私 水 平 协议 》《 参 考 

















开放 认证 构 





架 》《 共 识 评估 
































研究 报 
题 以 及 相应 的 解决 方案 
要 影响 。 

在 当前 尚 无 一 
域 的 云 计算 安全 
南 。 
动作 用 。 














可 




















9.3.1 





CSA 于 2009 年 4 月 发 布 了 《 云 计 算 关 键 领 
计算 关键 领域 安全 指南 V2.1》，2011 年 11 月 发 布 了 《 云 计算 关键 领 
域 安全 指南 V3.0》 从 架构 (Architecture )、 
(Operation) 三 个 方面 及 14 个 领域 对 云 安 全 进行 了 深入 阐述 ， 有 具体 构成 如 




















《 云 计算 关键 领 
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告 从 技术 、 操 作 和 数据 等 多 方面 来 强调 云 计算 安全 的 重要 性 、 
o 这些 报告 对 业界 有 着 积极 的 影响 ， 对 形成 云 计算 安全 行业 规范 具有 重 





个 被 业界 广泛 认可 和 普 
指南 》 最 为 业界 所 熟知 ， 无 
以 讲 ，CSA 的 工作 和 研究 成 果 对 形成 云 计算 安全 领域 的 规范 和 标准 J 





保证 安全 ' 

















遍 遵 从 的 




















疑 是 云 安 全 
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AGB 


标准 指南 中 最 





站》 等 。 这 些 标 准 











计划 调查 问 


和 


性 应 当 考 虑 的 问 





国际 性 云 安全 标准 的 情况 下 , 《关键 领 
响 力 的 一 个 指 























重 





要 的 

















《 云 计算 关键 领域 安全 指南 》 白皮书 














i 域 安全 指南 V1.0), 2009 年 12 
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月 发 布 了 《 云 
域 安全 指南 V3.0》。 
治理 (Governance) 和 运行 
9-1 所 示 。 


9.3.2 


云 安全 联盟 的 云 控制 矩阵 《CCM) 提供 了 一 个 控制 框架 。 
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安全 指南 
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《 云 控 制 矩阵 》 
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图 9-1 云 计 算 关键 领域 安全 指南 


白皮书 














业 的 信息 安全 控制 要 求 ， 加 强 现 有 信 ， 
洞 ， 提 供 标准 化 的 安全 性 和 操作 风险 管理 














中 实施 的 安全 措施 。 


2013 Æ, CSA 发 布 云 控制 矩阵 3.0 版 ， 








^n 
和 管理 
理 和 风险 管理 
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MHE: (34Rxyu4. OKERE, 
问 责 制 ，@ 威 胁 与 脆弱 性 管理 。 


《身份 管理 与 接 人 控制 指导 建议 书 》 白 皮 书 





9.3.3 


《身份 管理 与 接 入 控 



































FE 和 接 入 管理 
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企业 提供 所 需 的 为 云 产 业 定 制 的 信息 安全 相关 的 结构 、 细 节 和 清晰 度 。 云 控制 


Er 





























中安 全 控制 环境 ， 减 少 并 确定 刀 
E， 并 力求 标准 化 安全 预期 、 云 分 类 和 术语 ， 以 及 在 云 












































电子 发 现 和 云 取 训 








作为 一 个 框架 ， 云 控制 矩阵 为 





E 阵 通过 强调 企 
E 云 中 一 致 的 安全 威胁 和 漏 


























该 版 本 共 包 括 16 个 控制 域 、136 个 控制 点 。16 
| 域 分 别 是 :应 用 和 接口 安全 ; 审计 保证 和 合 规 ，@ 企 业 连 续 性 管理 ，@ 控 制 改变 
B; 数据 中 心安 全 ; @ 加 密 和 密 钥 管理 ，@ 治 
B; 基础 设施 和 虚拟 化 安全 ; @ 互 用 性 




















E; OHE 





判 指导 建议 书 》 主 要 讨论 了 身份 配置 或 取消 身份 配置 、 









































里 、 透 明度 和 





认证 和 联合 、 
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接 入 控制 与 用 户 配置 文件 管理 、 合 规 性 等 儿 个 重要 的 身份 和 访问 管 型 
p: 


















































对 于 云 中 身份 的 有 效 管理 至 关 重 要 。 
934. 《 云 计算 安全 障碍 与 缓和 措施 》 白皮书 











E GAM) 功能 。 这 些 功 能 








《 云 计算 安全 障碍 与 缓和 措施 》 总 结 了 数据 泄露 、 数 据 丢 失 、 账 户 劫持 、 不 安全 的 APR 





拒绝 服务 、 恶 意 的 内 部 人 员 、 滥 用 云 服务 、 审 慎 记 





安全 障 但 。 





93.5 (aih ARE 
了 一 个 开放 、 可 扩展 和 安全 的 接口 ， 人 允许 云 服务 供应 商 为 授权 客户 的 IaaS、 
Paas 和 SaaS 服务 提供 审计 、 断 言 、 评 估 和 保证 信息 。 


























云 审计 提供 





















































94 ENSIA 的 相关 标准 


为 提高 欧 共 体 范 围 
与 信息 安全 问题 的 防范 、 处 到 




















立 了 欧洲 信息 安全 局 (ENISA). 


2009 年 ，ENISA 先后 发 布 《 云 计算 : 优势 、 风 险 及 信息 安全 


全 保障 框架 》。 这 些 报告 使 公共 部 门 对 云 服务 提供 商 进 行 预 评估 ， 
































内 网 络 与 信息 安全 的 级 别 ， 提 高 欧 共 体 成 员 





























F 鉴 不 足 和 共享 技术 问题 等 九 个 关键 的 云 计 




















国 以 及 业界 团体 对 于 网 络 





E 和 响应 能 力 ， 培 养 网 络 与 信息 安全 文化 ，2004 年 3 月 ， 欧 盟 成 


建议 》 和 《 云 计 算 信息 安 
确定 是 否 采购 其 服务 。 其 























中 ,《 云 计算 : 优势 、 风 险 及 信息 安全 建议 》 从 企业 角度 出 发 指明 








并 指出 公有 云 的 数据 安全 会 面临 











巨大 的 挑战 。 该 报告 j 


























云 计算 可 能 带 来 的 好 处 ， 

















不 建议 将 最 敏感 或 者 核心 数据 置 于 














云端 ， 但 认为 许多 电子 政务 应 用 ， 可 以 适当 地 放 在 公有 云 上 。 该 报告 还 定义 了 云 里 的 风险 


类 型 、 资 产 类 型 
关系 、 影 响 资 产 风 险 等 级 。 

2011 年 ，ENISA 发 布 《政府 云 的 安 人 
年 ，ENISA 发 布 《 云 计算 合同 安全 服 
服务 级 别 协议 运行 情况 的 操作 体系 ， 习 
期 ， 详 细 曾 述 了 如 何在 云 计算 服务 合同 期 内 对 服务 的 安全 性 进行 检查 。 





9.) Gartner 


成 立 于 1979 年 的 Gartner 是 全 球 最 
全 部 IT 行业 ， 就 IT Hj 








和 弱点 类 型 ， 然 后 对 风险 详细 





























的 相关 标准 








分 类 并 给 出 其 可 能 










































































性 、 影 响 大 小 、 与 弱点 的 








和 弹性 》 报 告 ， 为 政府 机 构 提供 决策 指南 。2012 
务 水 平 监测 指南 》， 提 供 一 套 持续 监测 云 计算 服务 提供 商 
E 点 关注 公共 服务 领域 的 合同 ， 




















将 评估 工作 贯穿 整个 合 所 





























权威 的 IT 研究 与 顾问 咨询 公司 。 其 研究 范围 覆盖 
究 、 发 展 、 评 估 、 应 用 和 市 场 等 领域 ， 为 客户 提供 客观 、 公 正 的 














论证 报告 及 市 场 调研 报告 ， 协 助 客户 进行 市 场 分 析 、 技 术 选 择 、 项 目 论 证 和 投资 决策 。 为 





决策 者 在 投资 风险 和 管理 、 营 销 策略 、 发 

















策 者 做 出 正确 抉择 。 

















Gartner 在 2008 年 6 























ARES, TRU 











展 方向 等 重大 问题 上 提供 重要 咨询 建议 ， 帮 助 决 





























] 户 会 在 选择 云 服务 提供 





























全 性 评估 。 








fa] 





前 做 全 面 的 咨询 并 且 




















月 发 布 《 云 计算 安全 风险 评估 》 报 告 。 该 报告 称 云 计算 存在 许多 安 




















考虑 通过 第 三 方 来 进行 安 

















以 下 是 Gartner 认为 用 户 在 选择 云 服务 提供 商 之 前 应 该 向 提供 商 方面 提出 的 几 个 安全 
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问题 : 


(D 用 户 访问 权限 来自 于 企业 外 部 的 服 
内 部 程序 实施 的 “物理 


的 服务 绕 过 了 IT 部 门 对 
可 能 了 解 是 谁 来 管理 
员 的 录用 以 及 对 他 们 权 

(2) 法 规 遵 从 ”用 户 要 对 自 
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等 信 ， 
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数据 的 安 





务 会 带 




















来 一 定 程度 上 的 内 在 风险 ， 因 
E、 人 逻辑 以 及 人 员 控 制 ”。 因 


为 外 来 
此 ， 用 户 应 该 尽 

















ZU 


全 性 和 





整 性 负责 ， 即 使 这 些 数据 是 


的 数据 。Gartner 表示 :“ 你 应 该 要 求 提供 商 提供 有 关 特 权 管 理 人 
限 的 控制 


F4 


Ca 

















R 务 提供 


上 月 


























商 保存 的 。 传 统 服务 提供 商 负责 外 部 











fr 





查 机 制 的 云 计算 服务 提供 商 “ 表 明月 














En 


以 及 安 


JAS 




















(3) 数据 保存 位 
至 不 知道 自己 的 数据 被 保存 在 明 























协议 。 


(4) 数据 分 离 。” 云 中 的 数据 往往 是 与 
， 但 并 非 万 全 之 策 。Gartner 表示 :“ 了 解 提供 
来 的 ”。 云 计 算 服 务 提供 商 应 该 向 用 户 证 明 ， 他 们 的 加 密 策 











密 虽 然 是 一 种 有 效 的 方法 
数据 分 离 











当 采 用 云 时 ， 


个 





P3 











定 知道 自己 的 数据 至 




















国家 。 








K] 
存 和 处 理 数据 的 某 些 权限 ， 以 及 他 们 是 否 会 站 在 保护 有 




















认证 。Gartner 认为 ， 那 些 拒绝 提 
户 只 能 利用 它们 完成 最 不 起 眼 的 琐碎 功能 ” 

j 底 是 托管 
E, Gartner 建议 用 户 询问 服务 提供 商 是 
昌 户 个 人 隐私 的 角度 与 用 户 签订 














这 种 审 





N: 

















EMR 里 的 ， X 
否 具有 保 
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隐私 保护 










































































他 用 户 的 数据 一 起 保存 在 


个 共享 环境 ， 





的 。 加 


本 


















































商 是 如 何 将 不 同 用 户 的 


各 是 经 过 经 验 专家 设计 

































































和 测试 的 。 同 时 ，Gartner 表示 :“ 加 密 可 能 会 导致 数据 完全 无 法 读 取 ， 甚 至 普通 的 加 密 方法 都 
可 能 让 可 用 性 问题 变 得 很 复杂 ”。 
(5) 恢复 ”即使 不 知道 数据 被 保存 在 哪里 ， 云 服务 提供 商 也 应 该 告诉 用 户 在 发 生 灾难 的 





— 
= 








青 况 下 数据 和 服务 的 : 

品 都 可 能 遭受 最 严重 的 灾难 ” 
完全 恢复 ， 
(60 i 









































HSE 


HJ. Gartner 表示 :“ 用 户 很 难 调查 云 月 
起 ， 并 且 可 能 散落 于 不 断 变 化 的 主机 和 数据 : 
经 成 功 文 持 这 种 调 下 
研 和 请 求 调研 是 不 可 能 的 ” 

期 可 用 性 ”从 理想 角度 来 
购 。 但 是 服务 商 必须 确保 如 果 发 4 





协议 保证 ， 或 者 该 提供 商 曾 








Æ d 
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7) 长 


























“向 提供 商 询问 你 如 何 收回 数据 ”。 





9.6 ITU-T 的 相关 标准 


ITU-T 是 国际 电信 联盟 管理 下 的 专门 伟 























青 况 。Gartner 表示 :“ 任 何不 能 在 多 节点 间 复 4 
因此 ，Gartner 建议 用 户 向 服务 提供 商 询 问 他 们 是 否 “ 有 能 力 做 
这 个 过 程 需要 花费 多 长 时 间 ” 
对 云 计算 可 能 发 生 的 不 适当 或 者 违法 的 行为 进行 调查 
志文 件 和 数据 可 能 同时 保存 在 一 
\ 能 获得 文 持 某 种 形式 调研 的 
明 ， 那 么 你 唯一 的 安全 设想 就 


有 务 ， 



































E 这 些 情况 











剖 数据 和 应 用 架构 的 服务 产 
































为 多 租户 的 日 
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完 是 不 太 可 能 























心 内 。 如 果 你 
行为 的 证 



































， 云 服务 提供 商 永 远 不 可 能 破产 或 者 被 














他 厂商 收 





的 时 候 ， 用 户 数据 仍然 是 可 用 的 。Gartner 表示 : 














1993 年 。ITU-TSG17 fi 








究 组 会 议 于 2010 年 
作 组 ， 旨 在 达成 一 个 “全 球 性 生态 





系统 ”， 确 保 各 个 系统 之 间 安 








上 定 远程 通信 相关 国际 标准 的 组 织 。 
5 月 在 瑞士 的 日 内 瓦 召开 ， 决 定 成 立 云 计算 专项 工 











全 地 交换 信 ， 





























MZ, 





























包括 《电信 和 领域 云 计 算 安 











前 的 各 项 标准 ， 将 来 会 推出 新 的 标准 。 云 计算 安 
全 指南 》。 
ITU-T 于 2010 年 6 月 成 立 云 计算 焦点 研究 组 ， 致 力 于 从 电信 和 角度 为 云 计算 提 供 文 持 ， 焦 











A 














是 其 中 重要 的 研究 课题 ， 


该 机 构 创 建 于 











外 。 工 作 组 将 评估 
计划 推出 的 标准 


























点 组 运行 时 间 截 止 到 2011 年 12 
ITU-T 云 计 算 工作 组 的 主 

















j* 后 续 云 了 


[ 作 已 经 分 散 到 其 他 研究 组 。 








要 成 果 有 《 云 计算 安全 框架 》《 云 计算 身份 管理 


























要 求 》《 云 计算 杠 
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KAMER) (AAEM) (E2E 云 资源 管理 
架构 》《 云 计算 参考 架构 》《Daag 参考 架构 要 求 》 等 标准 


考 架 构 》《 云 基础 设施 参考 架构 要 求 》《 云 资源 管理 缺口 分 析 》《 云 安全 》《 云 计算 相关 SDOS 
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综述 》《 云 在 
中 ,《 云 安 4 
主题 。 
价 ， 在 评价 的 基础 上 确定 对 云 服 务 月 
标准 和 
活动 及 取得 的 
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BIVT 2H 














功能 需求 和 参考 架构 ，@) 安 
的 基础 





设施 和 








全 》 报 告 旨 在 确 


























方法 是 对 包 扣 
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= pa 


综述 》 报 
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网 络 ，@ 朋 
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问 、 虚 拟 终端 和 生态 友好 的 云 。 


97 OASIS 的 相关 标准 


的 开发 、 融 合 和 应 


S 


《 键 值 数 据 存储 》《 云 用 例 定 义 》《 云 PaaS 


D Arx 


OASIS 是 一 个 成 立 于 1993 年 开放 的 、 非 营利 的 联合 会 组 织 。 
发 领域 的 影响 力 很 大 ， 有 著名 的 XML 和 Web 


ervices 标准 。 


OASIS 于 2010 年 5 





并 中 进行 身 





蛙 标 准 中 






































开放 标 准 























H 19 
份 部 署 、 访 问 和 身 



































F 多 个 云 资 源 分 本 





信和 ICT 产业 的 收益 》、《 云 计算 标准 制订 组 
定 ITU-T 与 相关 标准 化 
if ENISA 和 ITU-T 等 标准 制订 组 织 目前 开展 的 云 安 
日 户 和 云 服务 供应 商 的 若干 
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ZAZR 





述 》 等 报告 或 


2u 
能 要 


白皮书 。 

















E 架 》《 云 计算 概述 和 词汇 》《 互 联 云 


E,《 云 生态 系统 介绍 》《 功 能 要 求 和 参 











BITTE E 








FER zs EAS 





H 








2 


女 











要 对 NIST、DMTF 和 CSA 等 标准 
究 成 果 进 行 综述 和 分 析 : Q@ 云 生态 系统 、 使 月 
审计 和 隐私 ; 由 云 服务 和 资源 管理 、 





制订 组 织 在 以 
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作 进行 评 
全 威胁 和 安全 需求 。《 云 计算 














下 7 个 方面 


展 的 














日 案例 、 





需求 和 商业 部 赦 场 景 ; 
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E. OASIS 在 软 伯 
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H, Mors 
份 策略 安全 、 配 置 和 管理 


AR 


全 联盟 和 ITU 等 相关 标准 组 织 在 云 安 全 和 身份 管理 领 


























9.8 DMIF 的 相关 标准 
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开放 网 格 论坛 (OGF) 是 由 来 自 40 个 国家 的 400 多 个 用 户 、 开 发 者 和 提供 商 的 社区 组 织 ， 
目的 是 引导 网 络 计算 的 标准 和 规范 。 

该 组 织 所 属 的 OCCI 工作 组 (Open Cloud Computing Interface Working Group). 提出 开放 云 
计算 接口 《OCCI) 标准 。 该 标准 目的 是 建立 架构 即 服务 云 的 接口 标准 解决 方案 ， 实 现 架构 云 
远程 管理 ， 开 发 不 同 工 具 以 支持 部 署 、 配 置 、 自 动 扩 展 、 监 控 和 定义 云 计算 、 存 储 和 网 络 服 
务 。 该 标准 最 初 面 向 的 是 laas 云 平 台 。 该 标准 由 OCCI Core、OCCI Rendering 和 OCCI 





Extensions 三 部 分 组 成 。 


OGF 成 员 发 表 很 多 针对 网 格 计算 和 
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9.42 SNIA 的 相关 标准 
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据 存储 访问 ， 扩 充 不 同 的 协议 和 物理 介质 。CDMI 是 云 存储 标准 化 工作 开端 的 一 个 重要 步 又 。 
9.13. 国内 云 标准 化 进展 
2008 年 开始 ， 国 内 科研 机 构 、 行 业 协会 及 企业 开始 关注 并 参与 云 计算 相关 的 标准 化 研究 
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国 也 在 积极 参与 和 推动 国 
DMTF、ISO/IEC 和 JTC1/SC38 等 
展 和 输出 成 果 ， 
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国信 息 技术 标准 化 技术 委员 会 
国际 标准 组 织 发 布 的 各 项 云 计 算 指标 进行 研究 和 梳 























中 国电 子 学 会 云 计 算 专 委 会 、 中 国电 子 
SOA 标准 工作 组 等 组织 进行 去 计算 标准 
里 ， 并 对 
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的 云 计 算 标准 体系 开 
际 云 计算 标准 化 的 相关 工 
国际 化 标准 组 织 内 均 有 任 I 
助 于 将 国内 云 计算 相关 的 研究 
化 组 织 相 结合 。 比 如 在 2010 年 的 SC38 第 二 次 年 会 上 ， 
国家 的 认可 ， 相 关内 容纳 入 后 续 丰 
国 在 云 计算 标准 化 工作 方面 所 取得 的 主要 成 果 门 。 











展 云 计 算 标准 的 制订 工作 。 
不。 目前 我 国 专家 在 ITU-T, 
职 。 这 既 能 使 我 们 快速 了 解 云 计算 
果 及 标准 化 诉求 与 国际 标准 
我 国 提交 的 《 云 计 算 潜在 标准 化 需求 
究 组 报告 中 。 





















































表 9-1 国内 开展 云 计算 标准 化 工作 组 织 
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第 10$ SERRES 


本 章 主 要 对 云 安 全 研究 的 主要 方向 及 主流 技术 的 现状 和 发 展 趋势 进行 阐述 。 











10.1 概述 


目前 ， 儿 乎 所 有 的 信息 系统 都 遵循 相同 的 策略 门 ， 即 尽量 防止 攻击 者 闻 入 服务 器 。 其 原因 
是 ， 如 果 攻 击 者 无 法 入 侵 服务 器 ， 他 们 就 无 法 访问 服务 器 中 的 数据 。 

然而 ， 黑 客 通 过 软件 缺陷 非法 入 侵 系 统 并 获得 敏感 数据 的 情况 始终 存在 。 其 原因 是 ， 如 
今 的 软件 都 异常 复杂 ， 很 难 开发 出 没有 缺陷 的 软件 产品 。 另 外 ， 黑 客 还 可 以 非法 获取 访问 服务 
器 的 管理 权限 ， 从 而 能 够 访问 存储 在 服务 器 上 的 包含 用 户 数据 的 所 有 资料 。 

在 云 计算 时 代 ， 越 来 越 多 的 企业 把 他 们 的 数据 外 包 给 云 服 务 提供 商 ， 因 此 他 们 的 敏感 数 
据 对 于 云 平台 运 维和 人员 及 管理 员 来 说 变 得 更 容易 获取 。 现 有 的 大 多 数 保护 技术 和 机 制 无 法 阻止 
这 种 攻击 ， 因 为 他 们 作为 云 服务 提供 商 的 工作 人 员 有 足够 的 权限 访问 服务 器 ， 并 且 可 以 轻松 地 
绕 过 这 些 机 制 。 另 外 ， 很 多 政府 如 美国 政府 ， 即 使 在 没有 传票 的 情况 下 ， 也 可 以 访问 保存 在 云 
服务 器 上 的 私人 数据 。 

总 之 ， 安 全 问题 已 成 为 限制 云 计算 进一步 发 展 的 瓶颈 ， 很 多 企业 都 是 因为 安全 方面 的 考 
谍 才 不 敢 贸 然 地 将 已 有 业务 迁移 到 云 计 算 上 。 为 了 改善 云 计算 系统 的 安全 状况 ， 许 多 企业 和 学 
术 机 构 都 先后 启动 了 相关 研究 ， 致 力 于 各 类 云 安全 产品 的 研发 。 

目前 ， 学 术 界 已 就 云 安全 研究 的 重要 性 达成 共识 ， 但 从 整体 上 来 看 ， 云 安全 的 研究 无 论 
是 深度 还 是 广度 都 还 很 不 够 。 当 前 关于 云 安 全 的 研究 大 多 侧重 于 如 何 使 用 新 技术 提高 服务 的 安 
全 性 ， 而 安全 性 的 提高 往往 会 导致 服务 效率 的 下 降 ， 而 且 新 技术 的 引入 可 能 会 引发 新 的 安全 问 
题 。 但 是 ， 需 要 指出 的 是 ， 保 障 云 服务 安全 的 本 质 就 是 保障 云 中 数据 的 安全 ， 因 此 ， 已 有 的 及 
未 来 的 研究 主要 是 针对 数据 的 安全 性 展开 的 。 































































































































































































































































































































































































10.2. 密码 技术 


解决 数据 泄露 问题 的 基本 策略 就 是 让 服务 器 上 存储 加 密 的 数据 ， 并 在 其 上 进行 计算 时 ， 
不 需要 进行 解密 ， 即 服务 器 只 接收 加 密 数 据 ， 即 使 攻击 者 闻 入 服务 器 并 获取 存储 在 那里 的 数 
据 ， 由 于 数据 是 加 密 的 且 服 务 器 上 没有 保存 解密 密 钥 ， 所 以 数据 的 机 密 性 始终 可 以 得 到 保护 。 
此 外 ， 当 数据 在 存储 时 ， 同 一 份 数据 也 可 以 同时 分 割 存储 部 分 数据 到 不 同 的 云端 服务 供应 商 ， 
如 此 即使 云 服务 供应 商 暴 力 破 解 ， 也 无 法 解读 全 部 数据 内 容 。 

如 果 数 据 加 密 服 务 是 由 云 服 务 提供 商 所 提供 的 ， 则 会 迫使 用 户 信任 那些 拥有 密 钥 的 人 ， 
而 这 本 身 就 蕴藏 着 危险 和 弱点 。 因 此 ， 如 果 能 够 直接 在 密 文 上 进行 计算 ， 则 更 有 利于 保证 数据 
安全 和 用 户 隐私 。 然 而 ， 如 何 通过 密 文 构建 密 文 计算 算法 找到 所 需 数据 ， 将 是 密码 学 中 极 具 挑 
战 性 的 且 有 待 研究 的 问题 之 
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10.2.44 全 同 态 加 密 











目前 关于 密 文 计算 的 研究 主要 集中 在 基于 密 文 的 处 理 和 检索 两 个 方面 。 








同 态 加 密 是 由 密码 学 家 Rivest、Adleman 和 Dertouzos 于 1978 年 提出 的 一 种 特殊 加 密 
算法 和 所。 该 加 密 算法 可 解决 数据 和 操作 委托 给 第 三 方 时 的 安全 问题 。 








设 加 密 操 作为 E, WXA m, WARAH e, BW e=E(m)。 若 已 知 针对 明文 有 操作 fs. 针对 











已 可 构造 操作 F, WE F(e)Em). WEKE HANER f EO ISI UR EI 
有 了 同 态 加 密 ， 就 可 以 把 加 密 得 到 的 密 文 e 交 由 第 三 方 来 执行 F 操作 即 Re)。 然 后 ， 通 











过 对 Fe) 进 行 解密 ， 就 


中 ,数据 内 容 m 对 第 三 方 是 完全 透明 的 。 





可 EA 
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| fm). SE F(O)BREPITS —ÀH ET, BERNE 











若 对 任意 复杂 的 明文 操作 f, 都 能 构造 出 相应 的 F. DUK E 为 全 同 态 加 密 算法 ， 也 称 为 隐 


私 同 态 。 











全 同 态 加 密 的 目的 是 找到 一 种 能 够 在 加 密 数 据 上 进行 加 法 和 乘法 运算 的 加 密 算法 ， 使 得 





对 加 密 数 据 进行 某 种 操作 所 和 
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文 。 换 言 之 ， 全 同 态 密码 文 持 对 密 文 的 任意 运算 。 
全 同 态 密码 能 很 大 程度 上 解决 云 计算 上 的 数据 安全 问题 。 用 户 可 以 将 数据 加 密 后 保存 在 








云端 。 除 非 获 得 加 密 者 的 私 钥 ， 否 则 无 人 可 以 获得 明文 。 但 是 ， 用 户 可 以 对 云端 的 密 文 进行 有 





意义 的 操作 。 






































然而 ， 全 同 态 加 密 的 构造 问题 困扰 密码 学 家 们 30 余年 。 在 此 期 间 ， 先 后 出 现 过 很 多 同 态 








加 密 算 法 ， 但 这 些 算法 大 多 只 满足 两 种 同 态 性 中 一 个 ， 即 : 要 么 满足 加 法 同 态 ， 而 不 满足 乘法 


















































同 态 ， 要 么 满足 乘法 同 态 ， 
Paillier 算法 则 是 对 加 法 运算 是 同 态 的 中 。 

















而 不 满足 加 法 同 态 。 例 如 ，RSA 算法 只 对 乘法 运算 是 同 态 的 ， 而 


























此 间 也 出 现 了 少数 的 几 种 全 同 态 算法 。 比 如 ，1978 年 Rivest 提出 的 一 种 既 满 足 加 法 同 态 又 满 
足 乘 法 同 态 的 Rivest 加 密 方法 外 。 该 方法 的 安全 性 依赖 于 大 整数 分 解 的 困难 度 ， 所 以 不 能 保证 加 密 
安全 。 之 后 ，Haridas 又 设计 了 一 种 效果 更 佳 的 算法 ， 解 决 Rivest 加 密 方 法 存在 的 安全 问题 时 。 但 人 
们 往往 出 于 其 安全 性 的 考虑 放弃 使 用 这 些 算法 。 直 到 2009 年 ， 对 全 同 态 加 密 算法 的 研究 才 有 了 突 









































破 性 的 进展 。IBM 公司 的 研究 员 


造 的 ， 可 看 作 一 种 特殊 的 公 钥 密 码 体制 。 他 构造 的 同 态 公 钥 加 密 方 案 包 括 密 钥 生成 算法 、 加 密 算 










































































Gentry 设计 了 第 一 个 全 同 态 加 密 方案 9。 该 方案 是 基于 理想 格 构 






































法 、 解 密 算 法 和 额外 的 评估 算法 。 全 同 态 加 密 保证 了 数据 处 理 方 仅 仅 能 够 处 理 数 据 ， 而 且 对 数据 的 











具体 内 容 一 无 所 知 。 但 是 








， 该 方案 计算 效率 很 低 ， 离 真正 实用 还 有 很 大 的 距离 。 

































































2010 年 ，Smart 等 借鉴 Gentry 构造 全 同 态 加 密 方案 的 思想 ， 提 出 基于 相对 小 的 密 钥 和 密 


文 规模 的 全 同 态 加密 方 案 
方案 的 安全 性 问题 归结 至 









































7l, Van Dijk 等 人 用 整数 集 代 蔡 理想 ， 设 计 了 全 同 态 加 密 方案 ， 把 此 
j 找 一 个 近似 的 最 大 公约 数 四 。 与 Gentry 设计 的 方案 相 比 ， 其 优点 是 
































更 简洁 ， 但 效率 依然 很 低 。2011 年 ， Loftus 等 人 对 Smart 等 构造 的 全 同 态 加 密 方案 进行 改 





进 ， 得 到 了 满足 不 可 区 分 非 适应 性 选择 密 文 攻击 安全 性 的 全 同 态 加 密 方案 口 。 












































全 同 态 加 密 技 术 将 会 促进 云 计算 的 发 展 。 因 为 云端 使 用 同 态 加 密 算法 对 数据 进行 加 密 





























后 ， 数 据 以 密 文 的 形式 存储 在 云 上 ， 在 一 定 程度 上 保证 了 数据 的 安全 性 ， 而 且 全 同 态 加 密 方 案 
能 够 实现 直接 对 密 文 数据 进行 计算 。 显 然 ， 全 同 态 加 密 技术 在 云 计算 领域 拥有 很 高 的 实际 应 用 








































































































价值 。 然 而 ， 目 前 已 知 的 全 同 态 加 密 体制 的 运算 复杂 度 远 远 高 于 传统 的 加 密 算法 ， 难 以 在 现 有 








计算 技术 条 件 下 进行 实 月 
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Hk. 














此 ， 设 计 高 效 全 同 态 加 密 方案 是 一 个 有 待 解决 的 问题 。 


10.2.2” 密 文 检索 


当 用 户 数据 以 密 文 形式 保存 在 云端 服务 器 上 时 ， 可 以 确保 敏感 信息 具有 一 定 的 安全 性 。 
但 是 ， 数 据 使 用 者 在 对 这 些 数据 进行 处 理 时 ， 不 可 避免 地 会 需要 对 数据 进行 频繁 地 存 取 和 加 解 
密 ， 这 样 就 极 大 地 增加 了 云 服务 提供 商 和 使 用 者 之 间 通 信和 计算 的 时 间 。 因 此 ， 如 果 能 快速 地 
对 密 文 数据 进行 检索 ， 则 对 云 安全 具有 一 定 的 实用 价值 。 

针对 基于 密 文 的 操作 问题 ， 一 种 条 尔 为 可 搜索 加 密 (SE) 的 技术 应 运 而 生 。 其 工作 原理 如 下 [0 
用 户 首先 使 用 SE 机 制 对 数据 进行 加 密 ， 并 将 密 文 存储 在 云端 服务 器 ， 当 用 户 需 要 搜索 某 
个 关键 字 时 ， 可 以 将 该 关键 字 的 搜索 赁 i PERSIUS A. 服务 器 将 接收 到 的 搜索 凭证 后 对 每 
个 文件 进行 试探 匹配 ， 如 果 匹 配 成 功 ， 则 说 明 该 文件 中 包含 该 关键 字 ; 最 后 ， 云 端 将 所 有 匹配 
成 功 的 文件 发 回 给 用 户 。 在 收 到 搜索 结果 之 后 ， 用 户 只 需要 对 返回 的 文件 进行 解密 。 

目前 ， 对 密 文 检索 技术 的 研究 主要 集中 在 如 下 两 个 方面 等 值 匹 配 检索 ， 主 要 的 算法 
有 线性 搜索 算法 、 基 于 关键 词 的 公 钥 检索 和 安全 索引 等 ，@ 密 文 区 间 检 索 ， 主 要 的 算法 有 分 桶 
实现 区 间 检 索 和 保 序 加 密 等 。 

Boneh 等 人 M1 在 非 对 称 密码 体制 中 引入 可 搜索 加 密 ， 提 出 第 一 个 带 关键 字 搜 索 的 公 钥 加 
密 (PEKS) 方法 。 其 使 用 公私 密 钥 来 构建 和 检索 密 文 ， 但 该 方法 需要 将 检索 对 象 和 检索 关键 
词 逐 个 比 对 ， 检 索 效 率 很 低 ， 不 适合 对 大 数据 量 的 加 密 文本 进行 检索 。 此 外 ， 该 方案 由 于 需要 
数据 使 用 者 和 服务 器 之 间 共 享 一 个 安全 通道 ， 其 实用 性 也 较 差 。2005 年 ，Baek 等 提出 一 种 不 
需要 安全 信道 的 PEKS RAN, 

公 钥 混淆 概念 是 由 Ostrovsky 和 Skeith 提出 中 的 。 其 目标 是 通过 加 密 程 序 来 达到 混淆 的 
目的 ， 即 通过 运行 Pa 个 加 密 的 输出 ， 之 后 再 对 加 密 输 出 进行 解密 。 由 于 云 
计算 平台 上 可 以 执行 加 密 程序 ， 而 云 服务 器 无 法 获知 执行 程序 的 其 他 信息 ， 因 此 公 钥 混淆 密码 
学 可 用 于 解决 PaaS 平台 中 存在 的 安全 问题 。 

私有 信息 检索 PR) 允许 一 个 用 户 在 保持 询问 隐私 的 情况 下 从 数据 集中 检索 信息 。 只 有 在 
数据 使 用 者 执行 很 多 计算 、 通 信 复 杂 性 仍然 保持 很 小 时 ， 私 有 信息 检索 才 被 认为 是 可 接受 的 。 

字符 理 密 文 检索 研究 的 热点 主要 是 通过 对 字符 数据 建立 安全 索引 ， 从 而 实施 快速 查询 。 比 
W, Song 等 人 "采取 序列 加 密 方法 对 文本 数据 进行 加 密 处 理 ， 这 样 无 须 解 密 就 可 以 直接 对 加 密 
文本 搜索 关键 词 。Li 等 人 "基于 关键 词 编辑 距离 ， 研 究 了 云 计算 环境 下 加 密 字 符 型 数据 的 模糊 
匹配 查询 ， 但 是 其 需要 语义 库 的 支持 。Wang 等 人 "9 基于 文本 词 频 研究 云 计算 环境 下 密 文 数据 查 
询 的 结果 集 排序 问题 ， 但 这 种 方法 仅 支 持 单 关键 词 的 排序 查询 。 微 软 公司 在 2009 提出 的 加 密 的 
云 存储 中 实现 了 基于 密 文 的 检索 、 基 于 属性 的 加 密 机 制 和 数据 持 有 性 证 明 等 技术 [1。 
能 够 实现 对 密 文 进行 检索 是 Rivest 等 人 提出 全 同 态 加 密 概念 的 初衷 之 一 ， 当 数据 被 加 密 
后 ， 数 据 自身 的 一 些 特 性 将 会 消失 ， 从 而 使 直接 对 数据 进行 运算 变 得 十 分 困难 。 比 如 当 使 用 精 
确 匹 配 查找 密 文 时 ， 不 需要 解密 就 能 够 检索 成 功 。 但 是 ， 当 需要 对 查找 的 密 文 进行 大 量 的 模糊 
匹配 或 比较 操作 时 ， 需 要 先 对 密 文 进行 解密 得 到 对 应 的 明文 后 才能 进行 检索 。 

总 之 ， 目 前 的 研究 主要 关注 密 文 数据 的 检索 方法 以 及 提高 密 文 检索 效率 ， 但 现 有 研究 在 
查询 功能 上 还 不 能 满足 大 数据 的 高 效 全 文 检索 服务 要 求 。 其 主要 问题 是 对 于 普通 的 非 同 态 加 密 
方案 ， 必 须 对 密 文 进行 解密 才能 进行 检索 ， 而 解密 同时 会 占用 大 量 的 计算 资源 9。 不 过 ， 随 
着 同 态 加 密 算法 研究 的 进一步 深入 ， 将 来 一 定 能 够 研究 出 高 效 的 密 文 检索 方法 ， 即 采用 同 态 加 
密 方法 才能 够 最 有 效 地 实现 密 文 搜索 。 
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10.23 ZJEM 






































































































































由 于 加 密 本 身 不 能 保证 防止 数据 丢失 ， 因 此 密 铀 管理 是 云 计 算 系统 需要 用 以 保护 数据 的 
一 种 核心 机 制 ， 也 是 云 计算 环境 建设 的 重点 和 难点 。 

相对 于 一 般 的 信息 安全 系统 ， 多 租户 、 多 角色 和 多 层次 的 云 计 算 平 台 特征 ， 以 及 资源 的 
所 有 权 和 控制 权 分 离 的 特点 ， 导 致 面向 云 计 算 的 密 钥 管理 更 加 困难 。 目 前 ， 尚 缺乏 有 效 的 技术 
手段 保证 ， 因 此 ， 需 要 开展 深入 研究 并 提出 有 效 的 解决 方案 。 
10.0 云 安全 与 大 数据 

大 数据 概念 是 早 在 1980 年 ， 由 著名 未 来 学 家 阿尔 文 。 托 夫 勒 提出 的 概念 。2009 E, KE 

















互联 网 数据 中 心 证 实 大 数据 时 
用 来 描述 大 量 的 数据 ， 还 浮 

















民 的 来 临 。 随 着 谷歌 MapReduce 和 GFS 的 发 布 ， 大 数据 不 再 
xf Abl 











目前 ， 关 于 大 数据 的 通 月 











定义 是 ， 大 数据 是 指 所 涉及 的 数据 量规 模 








主流 软件 工具 在 合 到 
以 分 为 大 数据 技术 、 
大 数据 在 近年 


























Iu 





DIEN 
大 数据 工程 、 大 数据 科学 和 大 数据 应 用 




















^ 处 至 














人 们 的 日 常生 活 方式 、 工 作 习惯 及 思考 模式 。 





在 大 数据 时 代 ， 云 计算 和 大 数据 的 结合 已 经 成 为 了 
境 ， 而 云 计算 可 以 为 大 数据 的 快速 4 











是 云 安全 


云 技术 的 发 展 尤其 



































目前 大 数据 的 发 展 仍然 面临 着 许多 问题 。 
问题 相 比 ， 解 决 大 数据 安全 与 隐私 保护 问题 更 为 坏 手 。 因 











A 











之 一 。 与 云 计算 中 的 数据 安 4 











EM 
其 中 ， 女 








Lor 

















有 务 提供 商 掌 


而 在 大 数据 的 














计算 中 ， 虽 然 云 有 
护 自 己 的 数据 。 















































j， 实 现 用 户 隐 私 保护 是 极 
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又 是 大 数据 的 存储 者 、 管 理 者 和 使 月 
Hx 














E， 并 通过 挖掘 有 


E 成 和 批量 分 析 提 供 技术 保障 。 同 时 ， 大 数据 时 代 的 至 
技术 的 发 展 带 来 新 的 机 中 与 挑战 。 

















仅 

















巨大 到 无 法 通过 目前 
站 助 企 业 进 行经 营 决策 。 大 数据 可 
四 大 部 分 。 


















































E 流 趋势 。 大 数据 需要 灵活 的 计算 环 
I 来 为 








全 与 隐私 问题 是 人 们 公认 的 关键 问题 
为 在 云 























着 数据 的 存储 与 运行 环境 ， 但 用 户 仍然 可 以 通过 加 密 等 手段 保 
景 下 ， 很 多 云 服 务 运 营 商 如 Google， 既 是 大 数据 的 4 














EFH, 








Jt, Hm 








H3. Bl 























当前 很 多 组 织 都 认识 到 大 
则 在 寻找 针对 数据 中 心安 全 和 
itte rige» UP, rug 
目前 ， 大 数据 的 存储 和 处 
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处 到 
标 。 




















的 进攻 成 本 。@ 大 数据 加 大 隐私 信 ， 
数 基于 大 数据 的 分 析 都 未 考虑 到 
响 安 全 控制 措施 能 否 正确 








I-A 
AX 


施 。 大 数据 的 大 小 








通过 技术 手段 限制 运营 商 对 用 户 信息 的 使 








数据 的 安全 问题 。 比 如 ，2012 年 云 安全 联盟 组 建 了 大 数据 工作 组 ， 
隐私 问题 的 解决 方案 。2014 年 
书 指出 :大 数据 时 代 ， 必 须 考 虑 大 数据 安 4 
EE 哥 主 要 是 分 布 式 计算 平台 ， 如 云 计算 。 然 而 ， 大 数据 的 分 布 式 
E 加 大 了 数据 泄露 的 风险 。 这 主要 体现 在 如 下 四 个 方面 外， 大 数据 成 为 网 络 攻 击 的 主要 目 
一 方面 ， 大 数据 意味 着 其 是 更 敏感 的 数据 ， 另 一 方面 ， 数 据 的 大 量 
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包子 技术 标准 化 研究 院 发 布 《 大 
与 隐私 问题 。 





























[ 集 ， 无 形 中 降低 了 黑客 























息 的 泄露 风险 。 数 据 集 








存储 增加 了 泄露 风险 ， 同 时 ， 目 前 多 





1 其 中 涉及 的 个 














体 隐 私 问题 。@@ 大 数据 威胁 现 有 日 
运行 。 安 全 防护 手段 








的 存储 和 安防 措 
的 升级 速度 无 法 跟 上 数据 量 



































非 线性 增长 的 步伐 时 ， 就 会 暴露 大 数据 安全 防护 的 漏洞 。 人 大 数据 技术 可 被 应 














大 数据 分 析 技 术 可 以 使 黑客 的 攻击 更 力 
大 数据 系统 也 可 以 存储 敏感 数据 ， 











到 攻击 手段 中 。 
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上 精准 。 同 

















性 : 
的 。 一 个 有 
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| 于 数据 量 比较 大 ， 进 行 数据 月 
的 解决 方案 是 确保 数据 压缩 的 空间 收益 和 加 密 数 据 的 机 密 性 。 





kA e RH 





EE 要 的 一 








时 ， 黑 客 可 以 利 
因此 在 加 密 数 据 上 进行 计算 ， 可 以 








j 大 数据 发 起 僵尸 网 络 攻击 。 
果 护 数据 的 机 密 


个 操作 。 但 是 加 密 和 压缩 是 相互 矛盾 












































总 之 ， 在 将 大 数据 转移 至 云 上 时 ， 需 要 采取 相应 的 保护 措施 ， 确 


qas 
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RIPE, KREIEN Z 
敏感 度 进行 分 类 ， 




















大 数据 系统 存在 的 安全 防范 方面 ， 目 前 还 没有 实质 性 进展 和 突破 。 





10.4 可 信 云 计算 
可 信 计 算是 | 





















































在 整个 计算 设施 ， 
统 的 安全 性 。 




















可 信 计 算 组 织 
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支持 数据 保护 、 身 份 证 明和 完整 











安全 策略 。 比 如 ， 在 涉及 大 数据 安全 性 时 ， 
并 对 它们 采取 不 同等 级 的 保护 措施 。 然 而 ， 大 数据 应 月 


保 用 户 既 





能 享受 云 计算 
户 应 当 依 据 数 据 的 
所 产生 的 隐私 问题 和 





























(TCG) 提出 和 发 展 的 概念 ，TCG 对 可 信 的 定义 是 : 可 
信 是 一 种 期 望 ， 在 这 种 期 望 下 设备 按照 特定 目的 以 特定 方式 运转 。TCG 针对 不 同 的 终端 
类 型 和 平台 形式 制订 了 一 系列 的 完整 性 规范 ， 这 些 规范 所 定义 的 可 信 平 台 模 块 CTPMO 通 
常 以 人 硬件 的 形式 被 嵌入 各 种 终端 ， 用 于 提供 更 可 信 的 运算 基础 。 
建立 了 一 个 验证 体系 ， 通 过 确 

















总 的 来 说 ， 可 信 计 算 平台 
保 每 个 终端 的 安全 性 来 提升 整个 计算 机 系 





可 信 平 台 模块 是 可 信 计 算 中 的 关键 部 件 ， 是 以 密码 技术 为 核心 ， 上 共有 计算 与 存储 功能 ， 
































性 度量 ， 











并 且 可 对 软件 的 完整 性 度量 提供 度量 报告 。 对 于 可 信 





























计算 技术 而 言 ， 它 最 重要 的 应 


是 保护 软件 的 完整 性 。 















































提供 云 服 务 。 








比如 ，Kong 5& AP 
离 ， 增 强 虚拟 机 上 

















户 数据 的 











可 信 计 算 技术 与 虚拟 化 技术 的 结合 正 逐 步 成 为 确 
以 虚拟 化 技术 与 可 信 计 算 技 术 的 结合 为 基 而 
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保 云 基 




















以 期 达到 使 云 月 





可 信 计 算 技 术 最 初 是 用 于 在 个 人 平台 上 提供 隐私 和 信任 的 ， 但 随 才 
的 趋势 下 ， 可 信 计 算 技术 被 引入 云 计 算 ， 用 来 解决 云 计 算 的 安全 问题 ， 虽 
础 设施 安全 性 的 
1 上， 通过 强化 虚拟 机 器 之 间 的 隔 
站 虚拟 机 器 的 机 密 性 。 








云 计算 成 为 主流 计算 
以 可 信赖 方式 向 用 户 























究 热 点 之 一 。 





Sadeghi 等 人 中 认为 可 信 计 算 技术 可 以 解决 外 包 数 据 的 机 密 性 和 完整 性 问题 。 沈 昌 祥 院士 站 认 








为 ， 引 入 可 信和 根 和 信任 传递 





能 访问 虚拟 机 镜像 。 











的 概念 到 可 信 云 计算 框架 ， 
Aslam 等 人 的 在 公共 laas 平台 中 对 虚拟 机 可 信和 连接 进行 了 验证 ， 











可 实现 对 云 服务 的 完整 性 度量 和 验证 。 





r1 


ZN 














有 主机 处 于 可 信 状 态 下 才 








还 有 研究 者 将 可 信 计 算 技 术 与 虚拟 机 技术 相 结合 ， 构 建 基于 可 信 计 算 基 (TCB) 的 可 信 
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HO o 
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李 虹 等 人 提出 了 可 








宫 云 安全 技术 概念 中 |， 

















云 计算 平台 ， 从 根本 上 降低 云 计算 的 安全 风险 。 比 如 ，Santos AYEN] 


通过 此 平台 可 以 为 用 户 提供 一 个 密闭 的 箱 式 执行 环境 ， 确 保 用 户 虚拟 机 运行 的 安全 性 。 











个 可 信 云 计算 平 




















即将 可 信 云 和 安全 云 相 i 
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Im E 


可 信 云 侧重 于 可 




















信 模 式 识别 技术 及 计算 ， 安 全 





云 侧 重 于 可 信和 密码 学 及 i 








十 算 ， 使 彼此 更 加 安全 。 



































构 ， 虚 拟 机 技术 和 可 信 i 
度量 和 保护 ， 可 

















Br, AET HJ WA 
才 算 技术 相 结合 ， 确 


言 云 计算 平台 是 云 服务 





四 个 方面 : 四 可 
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究 主要 集中 在 以 下 
保 云 计算 安全 的 平台 ; 


























言 云 计算 平台 安 
可 信 云 计算 


全 体系 结 


平台 完整 性 的 






































的 载体 ， 云 计算 平台 的 可 信 性 直接 影 


响 到 云 平 台 的 其 他 




















LA 

















服务 的 可 信和 性 ;名 可 信 云 计算 





平台 远程 匿名 证 明 ， 云 计算 平 
证 ; 可 信 云 计算 平台 去 用 户 统一 身份 认证 ， 这 是 去 用户 向 云 服务 的 
份 认证 技术 中 ， 安 全 强度 较 高 的 联盟 认证 多 数 依赖 于 








可 信 最 终 





远程 方 进行 验 
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身份 证 明 过 程 。 目 前 的 身 
PKI 来 实施 ， 而 这 种 方式 | 






































于 PKI 建设 




















E 需 大 量 计算 ， 同 时 证 书 链 交 换 通信 























一 种 无 中 心 的 认证 机 制 来 解决 上 述 问 题 。 


T 


HEK, 


内 此 需要 研制 
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10.5 云 安全 标准 及 其 测评 体系 










































































安全 服务 的 重要 参考 。 云 计算 安全 评测 体系 则 针对 云 计算 中 动态 性 与 多 方 参与 的 特点 ， 提 供 相 
应 的 云 服务 安全 能 力 的 计算 和 评估 方法 。 


























建立 以 测评 为 核心 的 云 安全 标准 及 其 测评 体系 是 实现 云 计 算 安全 的 重要 支柱 之 一 。 云 计 
算 安全 标准 是 度量 去 用 户 安全 目标 与 云 服务 商 安 全 服务 能 力 的 尺度 ， 也 是 安全 服务 提供 商 构 建 
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目前 ， 建 立 云 计算 安全 标准 及 其 测评 体系 的 挑战 在 于 以 下 几 点 外，Q@ 云 计算 安全 标准 应 支持 

















































































































更 广义 的 安全 目标 。 云 计算 安全 标准 不 仅 应 支持 用 户 描述 其 数据 安全 保护 目标 、 指 定 其 所 属 资产 安 


全 保护 的 范围 和 程度 ， 还 要 支持 用 户 的 安全 管理 需求 。@ 云 计算 安全 标准 应 支持 对 灵活 的 和 复杂 的 
云 服务 过 程 的 安全 评估 。 标 准 应 针对 云 计 算 中 动态 性 与 多 方 参与 的 特点 ， 提 供 相应 的 云 服务 安全 能 












































力 的 计算 和 评估 方法 。 同 时 ， 标 准 应 支持 云 服务 的 安全 水 平等 级 化 ， 便 于 用 户 直观 理解 与 选择 。 上 
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如 不 同 企业 的 PaaS 平台 所 提供 的 数据 加 密 算法 和 强度 等 确保 数据 安全 的 技术 不 会 完全 一 样 ， 即 不 
同 企业 Paas 平台 为 实现 相同 功能 所 采用 技术 存在 多 样 性 。 但 是 ， 安 全 风险 评测 方法 及 标准 的 制订 















































应 该 建立 在 统一 评价 标准 之 上 。@@ 云 计算 安全 标准 应 规定 云 服 务 安全 目标 验证 的 方法 和 程序 。 验 证 


















































的 核心 是 服务 商 提供 正确 执行 的 证 据 ， 如 可 信 审 计 记录 等 。 
10.0 云 安 全 体系 与 技术 框架 




















云 安全 体系 及 技术 架构 主要 是 从 系统 的 角度 出 发 ， 研 究 安全 云 平 台 的 结构 、 组 织 与 运行 
































模式 等 方面 的 技术 ， 同 时 研究 支持 实施 安全 云 的 相关 技术 。 












































目前 ， 主 要 去 服务 供应 商 如 IBM, Amazon 及 云 安全 标准 组 织 ( 如 CSA) 都 提出 了 自己 


的 安全 体系 及 技术 架构 。 研 究 者 也 纷纷 发 表 自己 的 研究 成 果 ， 如 Zissis 等 人 己 ] 提 出 了 一 种 结合 
公 钥 基础 设施 、 轻 量 目 录 访问 协议 和 单 点 登录 等 技术 的 云 计 算 解决 方案 。 该 方案 引入 可 信 的 第 




























































































三 方 提供 安全 认证 ， 并 根据 云 计 算 系 统 分 层 的 特性 ， 分 别 给 物理 层 、IaaS、PaaS 和 SaaS 提供 
安全 认证 。 冯 登 国 等 人 中 9 提出 一 个 包含 云 计算 服务 体系 和 云 计算 安全 标准 及 测评 体系 两 大 部 
































分 的 云 计 算 安 全 框架 。 这 个 框架 可 以 为 用 户 的 安全 目标 提供 技术 支撑 。 然 而 ， 目 前 还 没有 一 个 








公认 的 通用 云 安全 体系 和 技术 架构 。 
10.7 云 安全 形式 化 验证 



































形式 化 方法 是 一 种 用 于 规范 、 设 计 和 验证 计算 机 系统 的 严格 基于 数学 的 方法 。 它 具有 精 

































































确 性 高 、 二 义 性 小 、 利 于 自动 化 实现 以 及 易于 对 规格 说 明 进行 正确 性 验证 等 优点 。 



































足 规范 或 具有 所 期 望 的 性 质 。 
利用 形式 化 方法 对 云 服 务 的 形式 语义 进行 刻画 ， 有 利于 明确 云 服 务 与 云 环 境 之 间 的 作 月 













































































云 计算 的 计算 能 力 以 最 可 靠 、 最 高 效 的 方式 得 到 体现 。 

























































































研究 领域 ， 还 有 很 多 问题 需要 进一步 解决 和 完善 。 











机 理 ， 进 而 对 云 计 算 中 变化 的 影响 进行 分 析 ， 保 证 服务 的 准确 开发 、 成 功 部 署 和 高 效 运行 ， 使 


形式 化 验证 是 指 用 数学 方法 表达 系统 的 规范 和 性 质 ， 根 据 数 学 理论 证 明 所 设计 的 系统 满 
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尽管 很 多 学 者 利用 形式 化 方法 对 云 服务 进行 了 大 量 的 研究 ， 但 是 由 于 云 计算 是 一 个 新 的 


比如 ， 存 储 类 云 服务 是 以 数据 存储 为 主 的 云 服务 ， 若 可 以 利用 形式 化 方法 对 云 存 储 服务 























进行 安全 性 评估 ， 则 可 以 将 该 评测 方法 推广 到 -一般 云 服务 的 数据 安全 性 评估 中 。 
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10.8 ”数据 完整 性 验证 


云 存储 是 云 计算 提供 的 一 种 基本 服务 ， 在 该 服务 中 ， 用 户 可 以 将 自己 的 数据 委托 给 云 服 
务 器 保管 ， 需 要 时 从 服务 器 上 取 回 ， 数 据 的 可 靠 性 与 完整 性 完全 依赖 于 云 服务 器 。 云 存储 服务 
不 同 于 本 地 存储 ， 数 据 一 旦 脱离 用 户 的 控制 ， 用 户 就 可 能 担心 其 完整 性 和 可 用 性 ， 服 务 器 的 任 
何 差错 都 可 能 导致 用 户 数据 的 损坏 或 丢失 。 
对 于 云 存储 系统 来 说 ， 如 果 服 务 器 能 够 向 用 户 证 明 自己 的 服务 质量 ， 确 保 用 户 数据 的 完 
整 性 和 可 用 性 ， 无 疑 可 以 增加 用 户 对 于 存储 服务 的 信心 。 因 此 ， 云 存储 服务 器 如 何 有 效 地 向 用 
户 证 明 其 数据 完整 无 损 地 保存 在 服务 器 中 ， 而 且 随时 可 以 取 回 ， 成 为 云 计 算 中 需要 解决 的 一 个 
关键 问题 。 
云 数据 的 完整 性 证 明 技术 可 以 有 效 地 解决 云 存储 服务 器 的 数据 存储 服务 质量 证 明 问题 。 



















































































































































































10.9 数据 多 副本 技术 


企业 采用 云 运算 时 ， 将 相当 重视 云端 安全 问题 ， 特 别 是 数据 私密 性 、 完 整 性 以 及 可 用 
性 。 因 此 ， 云 端 数 据 在 储存 时 ， 应 建立 多 个 数据 副本 ， 并 支持 异地 备 援 ， 以 降低 数据 遗失 
的 风险 。 

目前 ，GFS 和 HDFS 中 数据 普遍 采用 三 个 副本 来 保证 元 余 。 这 是 一 个 简单 有 效 但 不 是 最 
优 的 方法 。 原 因 是 ， 三 个 副本 份 浪费 了 大 量 存储 空间 ， 在 集群 规模 较 小 时 可 能 不 是 那么 明显 ， 
日 是 对 于 大 规模 集群 就 比较 明显 了 。 假 设 按照 1GB 存储 空间 的 成 本 按 1$ 来 计算 ， 如 果 数 据 规 
模 是 STB， 那 么 两 个 备份 〈10TB ) 和 三 个 备份 (15TB) 的 成 本 差距 为 5000$P9]。 

针对 三 个 副本 存在 的 问题 ， 研 究 者 一 直 在 探讨 能 否 使 用 类 似 的 策略 在 不 降低 存储 可 靠 性 
的 前 提 下 降低 存储 副本 数目 。 比 如 二 代 Google 分 布 式 文件 系统 Colossus", Bl GFS2 中 使 用 
里 德 -所 罗 门 擦 除 码 来 实现 成 本 更 低 的 可 靠 存 储 。IMicrosoft 的 Azure 平台 采用 的 除 码 技术 来 降 
低 存储 成 本 B11。 

Facebook 在 开源 Hadoop 的 基础 上 也 实现 了 一 套 基 于 擦 除 人 码 的 RAID 方案 ， 并 公布 了 它 的 
基于 Hadoop HDFS 的 RAID 实现 65。 其 基本 思路 是 ， 存 放 在 HDFS 上 的 数据 分 为 热 数 据 和 冷 
数据 两 种 。 热 数据 一 般 存 放 三 个 备份 ， 因 为 这 些 数据 经 常会 被 用 到 ， 所 以 多 备份 除了 高 效 宛 余 
外 还 能 起 到 负载 均衡 的 作用 。 对 于 冷 数 据 ， 并 一 定 要 在 HDFS 里 面 保 存 3 个 副本 。 比 如 对 于 
不 太 冷 的 数据 块 A/B/C， 通 过 XOR CERERE) 方式 产生 Parity〈 检 验 值 ) 数据 块 ， 原 来 的 数 
据 块 A/B/C 各 保留 2 个 副本 ，Parity 数据 块 也 有 2 个 副本 ， 这 样 ， 副 本 系数 就 从 3 减 小 到 了 
2.6 GHEE). 对 于 很 冷 的 数据 ， 由 10 个 数据 块 通过 里 德 -所 罗 门 (Reed Solomon). 算法 生成 
4 个 Parity 文件 ， 对 于 原来 的 数据 块 ， 只 保留 1 个 副本 ，Parity 数据 块 有 2 个 副本 ， 这 样 ， 副 
本 系数 就 降 到 1.2。 按 照 这 种 方式 ， 对 同样 的 数据 ， 通 常 能 够 节约 25%~30% 的 HDFS 集群 的 
存储 空间 。 

总 之 ，HDFS 通过 智能 副本 放置 模型 提高 系统 可 靠 性 和 高 效 性 ， 使 得 HDFS 不 同 于 其 他 分 
布 式 文件 系统 ， 高 带宽 利用 率 且 具有 机 架 感知 的 副本 放置 策略 进一步 优化 了 系统 。 

采用 多 副本 技术 ， 尽 管 可 以 降低 数据 遗失 的 风险 ， 但 是 这 样 的 做 法 将 可 能 造成 较 高 的 成 
本 ， 故 如 何 有 效 地 存储 副本 将 是 未 来 一 个 重要 的 研究 议题 。 
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Mie ” 笛 用 术语 中 英文 对 照 


A 
AAA. (Authentication, Authorization and Accounting) — 认证、 授权 和 计 费 
AC (Access Control) ”访问 控制 
ACE (Aliyun Cloud Engine) ”阿里 云 服 务 引擎 
ACL (Access Control Lis). ”访问 控制 列表 
ACM (Access Control Module) ”访问 控制 模块 
AD (Active Directory) ”活动 目录 
Amazon 亚马逊 公司 
AMI (Amazon Machine Images) Amazon 机 器 镜像 
APaaS (Application Platform as a Service) ”应 用 部 署 和 运行 平台 
APEC (Asia-Pacific Economic Cooperation) “亚太 经 济 合作 组 织 
API (Application Programming Interface) ”应 用 程序 接 
ARP (Address Resolution Protocol) ”地 址 解析 协议 
AS (Authentication Server) ”身份 鉴别 服务 器 
ASE (Asymmetric Searchable Encryption) 非 对 称 加 密 检 索 
ATM (Asynchronous Transfer Mode) 异步 传输 模式 
Audit 审计 /稽核 
Authentication ”身份 验证 
Authenticator ”认证 符 
Availability 可 用 性 
Average Response Time 平均 响应 时 间 
AWS (Amazon Web Services) “亚马逊 Web 服务 
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B/S (Browser/Server) ”浏览 器 /服务 器 

B2B (Business-to-business) ”企业 对 企业 之 间 的 营销 关系 
Back-end Driver “后 端 设备 驱动 

Beacon ”信和 标 

BitTorrent ”比特 流 

Botnet (E W% 

Broad Network Access 广泛 的 网 络 访问 

Burst y 








C/S (Client/Server) “客户 /服务 器 
CA (Certificate Authority) ”认证 授权 
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CaaS (Communications as a Service) 
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CCIF (Cloud Computing Interoperability Forum) ” 云 计 算 互 操作 论坛 
CCM (Cloud Controls Matrix) ” 云 控制 矩阵 

CCSK (Certificate of Cloud Security Knowledge) ”云端 服务 风险 标准 
CCSRA (Cloud Computing Security Risk Assessment) ”云端 服务 风险 评估 
CDMI (Cloud Data Mamangement Interface) ” 云 数据 管理 接 


















































CDN (Content Delivery Network) ”内容 分 发 网 络 
Chunk Jk 

Cisco ”思科 公司 

Cloud Auditor 云 审计 者 

Cloud Audit zip ze 











Cloud Broker 云 代 理 

Cloud Bursting SÆR 

Cloud Carrier 云 载体 

Cloud Computing Service 云 计 算 服 务 
Cloud Computing Technologies ” 云 计算 技术 
Cloud Computing ” 云 计 算 

Cloud Consumer 云 消 费 者 

Cloud Provider KRE 

Cloud Security 云 安全 

Cloud Storage 云 存 储 

Cloud Carrier 云 载 体 提供 者 

Cluster Computing ”集群 计算 
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CMM (Capability Maturity Model for Software) ”软件 成 熟 度 模型 











Community Cloud 社区 云 
Concurrent Users “并 发 用 户 数 
Confidentiality ”机密 性 
Control ”控制 

Council of Europe ”欧盟 理事 会 
COW (Copy On Write) ‘SA 
CPU CCentral Processing Unit) 
Credentials ” 证书 
CRM (Customer Relationship Management) ”客户 
Cryptographic Cloud Storage ”加 密 的 云 存储 
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CSA (Cloud Security Alliance) ” 云 安 全 联盟 
CSC (Cloud Signaling Coalition) ZRS 
CW (Chinese Wall) "HESSE 
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X ^Y 
ZR EXE 














DAS (Direct Attach Storage) 





直接 附加 存储 (一 种 直接 连接 于 主机 服务 器 的 存储 方式 ) 














Data Integrity 数据 完整 性 
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Data Outsourcing ”数据 外 包 

DBR (Dos Boot Record) DOS 引导 记录 

DDoS (Distributed Denial of Service) ”分 布 式 拒绝 服务 

Delegation Token ”授权 令 牌 

Dell 戴尔 公司 

Device Model 设备 模型 

DHCP (Dynamic Host Configuration Protocol) ”动态 主机 配置 协议 

Digital Signature ”数字 签名 

Distributed Computing “分 布 式 计算 

Divisible Load Theory 可 划分 负载 理论 

DMTF (Distributed Management Task Force) ”分 布 式 管理 任务 组 

DNS (Domain Name System) ”域名 系统 

DoS (Denial of Service) ”拒绝 服务 

DP (Differential Privacy) ”差分 隐私 

DVFS (Dynamic Voltage and Frequency Scaling) “动态 电压 和 频率 缩放 
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EBS (Elastic Block Storage) ”弹性 块 存储 

EC2 (Elastic Compute Cloud) ”弹性 计算 云 
ECS (Elastic Compute Service) ”弹性 计算 服务 
EDP (Elastic Data Processing) ”弹性 数据 处 理 
EMC 易 安信 公司 

ENIAC (Electronic Numerical Integrator and Computer) ”电子 数字 积分 计算 机 
Erasure Code HIRIS 

Error Rate 错误 率 

EU Data Protection Directive “欧盟 数据 保护 指令 

Eucalyptus FE] 
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FC (Fabric Controller) ”结构 控制 器 

FIPS (Federal Information Processing Standard) ”美国 联邦 信息 处 理 标准 
Front-end Driver “前端 设备 驱动 程序 

FTA (Fault Tree Analysis) ”基于 故障 树 分 析 

FTPS (File Transfer Protocol Security) ”安全 文件 传输 协议 

Full Virtualization ”全 虚拟 化 

Fully Homomorphic Encryption ”全 同 态 加 密 
























































GAE (Google App Engine) ”Google 应 用 引擎 
Garner HEHA 

GFS (Google File System) Google 文件 系统 
Google 谷歌 公司 

GPU (Graphics Processing Unit) ”图 形 处 理 器 
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GRE (Generic Routing Encapsulation) ”通用 路 由 封装 

Grid Computing ”网 格 计算 

GSSAPI (Generic Security Service Application Program Interface) ” 通用 网 络 安全 系统 接 
Guest OS 客户 操作 系统 
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HA (High Availability) ”高 可 用 性 
HDFS (Hadoop Distribute File System) Hadoop 分 布 文件 系统 

HMAC (Hash-based Message Authentication Code) ” 散 列 运算 消息 认证 人 码 
Homomorphic Cryptograph” 同 态 加 密 

Host OS ”宿主 操作 系统 

HP (Hewlett-Packard) 惠普 公司 

HPC (High Performance Computer) ”高 性 能 计算 机 

HSM (Hardware Security Modules) ”硬件 安全 模块 

HTC (High Throughput Computing) ”高 春 吐 计算 

HTML (HyperText Markup Language) ” 超 文 本 标记 语言 

HTTPS (Hypertext Transfer Protocol Secure) — 超 文 本 传输 安全 协议 

HVM (Hardware Virtual Machine) ” 便 件 虚拟 域 

Hybrid Cloud 混合 云 

Hypervisor ”虚拟 机 管理 器 
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I 
IaaS (Infrastructure as a Service) “基础 设施 即 服务 
IAM (Identity and Access Management) ”身份 认证 和 访问 管理 
IBM (International Business Machines Corporation) ”国际 商业 机 器 公司 
IDC (International Data Corporation) ”国际 数据 公司 
IDD (Isolated Driver Domain) ”独立 设备 驱动 域 
IDE (Integrated Development Environment) ”集成 开发 环境 
Ideal Lattice ”理想 格 
IEC (International Electro Technical Commission) ”国际 电工 委员 会 
Inhouse Cloud ”内 部 云 
Intel 英特尔 公司 
Internet ”因特网 
IP (Internet Protocol) ”因特网 互联 协议 
IPaaS (Integration Platform as a Service) ”集成 PaaS 平台 


ISACA (Information Systems Audit and Control Association) ”美国 信息 系统 审计 和 控制 协 
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ZS 




















































































































iSCSI (Internet SCSI) ”互联 网 式 SCSI〈 通 过 网 络 来 连接 ， 但 主要 是 用 来 给 服务 器 扩 
硬盘 空间 ) 
ISO (International Organization for Standardization) ”国际 标准 化 组 织 
IT (Information Technology) ”信息 技术 
ITU (International Telecommunication Union) ”国际 电信 联盟 
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K-anonymity |. K-FE 
KDC (Key Distribution Center) ” 密 钥 分 发 
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K 
L 
LAN (Local Area Network) 局 域 网络 
LDAP (Lightweight Directory Access Protocol) ”轻型 目录 访问 协议 
L-diversity ” 工 - 多 样 性 
Limited Look ahead Control 有 限 先行 控制 
LRU (Least Recently Used) ”最 近 最 少 使 用 页 面 置换 算法 
LVS (Linux Virtual Server) Linux 虚拟 服务 器 
M 






































MA (Machine Address) ”机 器 地 址 
MA (Monitor Agent) ”监视 代理 
Maintainability ”可 维护 性 
MBR (Master Boot Record) ” 主 引 导 记 录 

MD5 (Message-Digest Algorithm 5) 消息 摘要 算法 第 五 版 
MDS (Monitoring and Discovery Service) ”监视 数据 分 析 服 务 
Measured Service ”可 测量 服务 
MFA (Multi-Factor Authentication) ”多 因子 认证 
Microsoft ”微软 公司 

Middleware ”中 间 件 

MITM (Man Inthe Middle) 中间 人 攻击 
MMU (Memory Management Unit) ”内 存 管 理 单元 
Multi-Tenant 多 租户 



























































H 





N 

NaaS (Network as a Service) “网络 即 服务 

NAS (Network-Attached Storage) ”网络 存储 设备 

NASA (National Aeronautics and Space Administration) 美国 国家 航空 航天 
Native Driver 原生 设备 驱动 

Netscape 网 景 公司 

Network Level ”网络 级 

Network Middlebox ”网 络 中 间 盒 

Network 网 络 
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Node Bj 
O 
OASIS (Organization for the Advancement of Structured Information Standards) 
县 标准 促进 组 织 
OCC (Open Cloud Consortium) ”开放 云 计算 联盟 
ODPS (Open Data Processing Service) 放 数 据 处 理 服务 
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NIST (National Institute of Standards and Technology) ”美国 国家 标准 与 技术 研究 院 





结构 化 信 


OECD COrganization for Economic Cooperation and Development?) 

Off-Premises ” 场 外 服务 

OGF (Open Grid Forum) ”开放 网 格 论坛 

On-Demand Self-Service 按 需 自助 服务 

On Premises 场 内 服务 

Onsite Private Cloud ”现场 私有 云 

Oracle ”甲骨文 公司 

OS (Operating System) ”操作 系统 

OSS (Open Storage Service) ”开放 存储 服务 

OTS (Open Table Service) ”开放 结构 化 数据 服务 

Outsourced Private Cloud 外包 私有 云 

OVF (Open Virtualization Format) ”开放 虚拟 化 格式 规范 
P 






































P2P (Peer-to-Peer) ”对 等 计算 

PA (Physical Address) ”物理 地 址 

PaaS (Platform asa Service) ”平台 即 服务 

PAM (Pluggable Authentication Module) ”可 插 拔 认证 模块 
Para Virtualization EHME 

Parallel Computing JÍTE 
PC (Personal Computer) ”个 人 计算 机 
Peak Response Time ”峰值 响应 时 间 















































经 济 合 作 惨 发 展 组 织 


PEKS (Public-key Encryption with Keyword Search) ”和 带 关 键 字 搜索 的 公 钥 加 密 





Penetration Test ”渗透 测试 

PIR (Private Information Retrieval) 私有 信息 检索 
PKI (Public Key Infrastructure) 公 钥 基础 设施 
Platform Virtualization 平台 虚拟 化 

PPTP (Point to Point Tunneling Protocol) 点 对 点 隧道 协议 
Predicate Encryption ”谓词 加 密 

Presence Service Testing ”存在 服务 测试 

Privacy Homomorphism ”隐私 同 态 

Private Cloud ”私有 云 

Private Key ”保密 的 私 钥 

Public Cloud ”公有 云 

Public Key ”公共 密 钥 

Public Key Obfuscation ” 公 钥 混淆 












































Q 
QoS (Quality of Service) 服务 质量 
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RAID (Redundant Array of Independent Disks) 独立 磁盘 元 余 阵 列 
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Rapid Elasticity 快速 的 弹 
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RBAC (Role-Based Access Control) ”基于 角色 的 访问 控 秆 
RDF (Resource Description Framework) ”资源 描述 框架 
RDS (Relational Database Service) 关系 型 数据 库 服 务 
Redundancy J&R 
Reed Solomon Erasure Code ”里 德 - 所 罗 门 擦 除 人 码 
Reliability ”可靠 性 
Requests Per Second ”每 秒 请 求 数 
Resource Pooling ”资源 池 
Resource Virtualization ”资源 虚拟 化 
REST (Representational State Transfer) 表现 层 状态 转化 
RISC (Reduced Instruction Set Computer〉 精 简 指令 集 计算 机 
Role ”角色 
Router 路 由 器 
RPC (Remote Procedure Call Protocol) 远程 过 程 调 用 协议 

S 
S3 (Simple Storage Service) 简单 存储 服务 
SaaS (Software as a Service) 软件 即 服务 
SAE (Sina App Engine) ”新 浪 云 应 用 引擎 
SAML (Security Assertion Markup Language) 安全 断言 标记 语言 
SAN (Storage Area Network) 存储 区 域 网 络 
Sandbox ” 沙 箱 
SAS (Serial Attached SCSD 序列 式 SCSI 
SASL (Simple Authentication and Security Layer) 
SCS (Security as a Cloud Service) ”安全 云 
SCSI (Small Computer System Interface) 小 型 计算 机 系统 接口 
SDK (Software Development Ki) ”软件 开发 工具 包 
SE (Searchable Encryption) 可 搜索 加 密 
Secure Shell Protocol ”安全 外 壳 协 议 
Service ”服务 
Session Hijack ”会 话 动 持 
Session Key ”会 话 密 钥 
SHA (Secure Hash Algorithm) 安全 散 列 算法 
SLA (Service Level Agreement) ”服务 级 别 协议 





c— 






















































































简单 认证 和 安全 层 






















































































SMAPI (System Management Application Program Interface) 简单 信 报 应 用 程序 找 
SMC (Secure Multiparty Computation) 安全 多 方 计算 
SNIA (Storage Networking Industry Association) 存储 网 络 工 业 协 会 
SOA (Service Oriented Architecture) 面向 服务 的 体系 结构 

SOAP (Simple Object Access Protoca) 简单 对 象 访问 协议 

Software Virtualization ”软件 虚拟 化 

SQL (Structured Query Language) 结构 化 查询 语言 
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SQS (Amazon Simple Queue Service) 简单 队列 服务 
SSD (Solid State Drives) 固态 硬盘 
SSE (Symmetric Searchable Encryption? 对 称 检 索 加 密 
SSH (Secure Shell) 安全 外 过 

SSL (Secure Sockets Layer) 安全套 接 层 

SSO (Single Sign On) 单 点 登录 

ST (Service Ticket) ”服务 票证 
STE (Simple Type Enforcement) 简单 类 型 强 
Storage Virtualization ”存储 虚拟 化 

Subnet 子 网 

Super Computer ”超级 计算 机 

System Key 系统 密 角 
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T 
TaaS (Testing as a Service) 测试 即 服务 
TCB (Trusted Computing Base) 可 信 计 算 基 
TCG (Trusted Computing Group) 可 信 计 算 工 作 组 
TCP (Transmission Control Protocol) 传输 控制 协议 
TE (Type Enforcement) 类 型 强制 
Tenant 租户 
TGS (Ticket-Granting Service) ”票证 许可 服务 
TGT (Ticket-Granting Ticket) 票证 许可 票据 
Throughput in KB/second ”每 秒 吞 吐 量 
Ticket 票据 
Timestamp — HR 
TLB (Translation Look Aside Buffer) 转换 劳 路 缓存 ， 也 称快 表 
TLS (Transport Layer Security) ”传输 层 安全 协议 
Token 令 牌 
TPM (Trusted Platform module) 可 信 平 台 模 块 
Two-step Verification ”两 步 认 证 机 制 






































U 
UCI (Unified Cloud Interface) 统一 云 接口 
UI (User Interface) 用 户 界 面 
URL (Uniform Resource Locator) ”统一 资源 定位 器 
Utility Computing ”效用 计算 








V 
VA (Virtual Address) ”虚拟 地 址 
VLAN (Virtual Local Area Network) ”虚拟 局 域 网 
VM Escape ”虚拟 机 逃逸 
VM Hopping ”虚拟 机 跳跃 
VM Introspection ”虚拟 机 自省 技术 














251 





VM (Virtual Machine) 虚拟 机 

VMM (Virtual Machine Monitor) 虚拟 机 监控 器 
VPC (Virtual Private Cloud) ”虚拟 私有 云 

VPN (Virtual Private Network) ”虚拟 专业 网 络 


























WwW 
WAN (Wide Area Network) 广域网 
Web Service Web 服务 
WWW (World Wide Web) 万维网 

X 


XACML (eXtensible Access Control Markup Language) 可 扩 
XML (Extensible Markup Language) ”可 扩展 标记 语言 
Y 








Yahoo HERAF 
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